|
安全增強Linux(Security Enhanced Linux)�,也就是SELINUX的推出被稱為是IT管理者們確保Linux系統(tǒng)安全和平穩(wěn)運行的一種可自由支配的強大工具。SELINUX是由美國國家安全局(NAS)開發(fā)的強制訪問控制的實現(xiàn)�����,目前�����,SELINUX已經(jīng)被整合到大部分主流Linux版本之中���。
“SELINUX可以阻止偷竊行為�����,可以阻止垃圾信息傳播并防止“蠕蟲”攻擊網(wǎng)站����。”Red Hat公司的首席軟件工程師Dan Walsh說�,他同時也是SELINUX工程的一名正式參與者�。據(jù)Walsh所說�,IT管理者們應該讓SELINUX在數(shù)據(jù)中心的方方面面隨時都處于打開狀態(tài)。
問題是�,如今許多用戶都讓SELINUX處于關(guān)閉狀態(tài)(SELINUX已經(jīng)內(nèi)置到Red Hat 企業(yè)版Linux系統(tǒng)當中)。
SELINUX開放源碼安全技術(shù)在其確保高度安全方面被廣泛認可的同時�����,同時也被認為過于復雜�����。RHEL 5(Red Hat 企業(yè)版Linux 5系統(tǒng))包含了大量的新工具和管理特征以解決這一問題�,但這是否已經(jīng)太晚了呢?
SELINUX: 事實與認知
“SELINUX最大的問題在于人們對它的認知,”位于加利福尼亞的Saugus聯(lián)盟學區(qū)的信息服務與技術(shù)主管Jim Klein說�����,“它因為早期缺少配置工具和故障排除工具而惡名在先��,這正是人們選擇關(guān)閉它的原因����。”
Klein說,對于SELINUX倡導者來說不幸的是����,當管理者為系統(tǒng)檢查故障時��,第一個問題往往是“SELINUX是打開的嗎?”他還說,在他的數(shù)據(jù)中心SELINUX是關(guān)閉的���,而且除非地區(qū)轉(zhuǎn)向使用RHEL5的計劃完成���,他是不打算讓它恢復活動狀態(tài)的。
盡管如此����,Red Hat公司的Walsh還是說SELINUX的“復雜性問題”會逐漸得到解決。在San Diego舉行的Red Hat年度峰會中�����,Walsh表示他最近分解了SELINUX�����,目前應用安全技術(shù)在Red Hat企業(yè)版Linux5系統(tǒng)中是默認打開的���。RHEL4中也是包含SELINUX的�,但只有RHEL5出現(xiàn)以后,Walsh和其他SELINUX專家才可以放心宣稱“讓SELINUX處處打開”���。
“RHEL4像是該項技術(shù)的范例�,”Walsh說���,“我們將其劃分為一定數(shù)量的域�����,或者說是15個可由應用程序訪問的目標程序組��。”
然而��,在RHEL5之中目標程序組達到了200個�����。Walsh又一次重申��,“RHEL5的目標是讓SELINUX無處不開���。”
SELINUX: 復雜,但故障排解器可以提供幫助
身為作家和SELINUX專家的Frank Meyer對SELINUX的了解程度可以超越大多數(shù)人。
他說:“我并不想譴責專門提出‘復雜性’問題的人�。但這種感知的產(chǎn)生是因為SELINUX具有保護Linux內(nèi)核提供的任何事務的能力�����,而Linux內(nèi)核本身就很復雜�����。”
依Meyer看來,當用戶聲稱SELINUX因為太過復雜而不能有效配置時��,就相當于在聲稱他們不能應用Linux內(nèi)核是因為他們不知道該如何寫一個設備驅(qū)動程序���。“從邏輯上來說����,這是沒有意義的����。”他說。
為了回應這種感知�,Red Hat已經(jīng)在RHEL5中引入了SELINUX故障排解器(Troubleshooter),故障排解器(Troubleshooter)也被稱為故障排解集合(settroubleshoot)�,是一個為存取向量高速緩存(AVC)消息監(jiān)視稽核記錄文件的工具。
根據(jù)Fedora項目網(wǎng)站所言�����,用戶、系統(tǒng)管理員和開發(fā)者經(jīng)常遇到AVC拒絕的沖突��。Fedora項目網(wǎng)站是開展大部分SELINUX與Red HatLinux構(gòu)架測試的地方��。當SELINUX經(jīng)過充分調(diào)試和合理配置之后��,AVC拒絕只會由實際的安全性入侵觸發(fā)�。然而,由于SELINUX仍然是新技術(shù)����,策略尚處于開發(fā)狀態(tài),因此大部分的AVC拒絕并不是由實際的安全性入侵引起的����。此外,用戶尚處于學習配置SELINUX的過程中�,也是AVC拒絕發(fā)生的一個原因。
目前��,當AVC拒絕發(fā)生時�,故障排解器就會運行SELINUX插件數(shù)據(jù)庫來尋找匹配,并向用戶發(fā)送一條包含問題描述和建議方案的消息。像Meyer 和Walsh這樣的行業(yè)觀察者認為����,這一工具對于幫助用戶區(qū)分真正問題和虛假警報大有幫助,而區(qū)分真正問題和虛假警報正是阻礙SELINUX在IT管理者中應用的主要原因����。
Klein說,故障排解器是一項受歡迎的附加工具�����,但對幫助解決SELINUX的認知問題來說可能出現(xiàn)得太晚了�����。他說���,故障排解器及其同類是“管理者們認真考慮是否重新啟用SELINUX的出發(fā)點,”但是����,“困難在于說服那些已經(jīng)把SELINUX看作‘所有問題根源’的人員不要在問題出現(xiàn)時就簡單地把它關(guān)閉。”
Klein說�����,至今為止,Saugus已經(jīng)將大部分服務器上的SELINUX關(guān)閉����。在等待SELINUX工具和策略的成熟化的過程中,以傳統(tǒng)設置作為保證應用程序安全的默認設置��。
本文出自:億恩科技【prubsntakaful.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
