本文的最原始版本为2004年3月所写,此份HOWTO是作者在今年2月根据最新的SE Linux所作的修改后的版本。新的SE Linux与以前的有比较大的变化,而且这项技术本身也正在飞速的发展,并未最后成熟。阅读本文是需要对Linux本身有一定深度的了解作为基础的。本文并不是Linux的初级教程,但却是SE Linux技术的初级教程。
新的SE Linux是基于2.6.*内核的,但是仍然支持2.4.*的内核。这份文档的大部分内容是原来的,我在需要修改的地方做了调整。
这份文档是美国">国家安全局的安全加强的Linux(NSA SE Linux)的概述性的说明。我们主要的环境是基于Debian Linux的,而且大部分的软件包的操作命令实例都是基于Debian的。这份文档主要是针对那些想要基础了解SE Linux的人,所以这里没有对SE Linux比较进介的介绍。你可以在附录的资源部分找到其它介绍SE Linux的资料。
这份文档是一个SE Linux的简介,可以指导一部分人初步的学会SE Linux。它涵盖和解释了SE Linux 的各方面的术语,安装和添加用户并且涵盖了一小部分别的知识。
这份文档只是一份指导。我强烈的建议你在实际工作的机器上应用之前先找一台试验机器来做练习 。
最新的SE Linux有一些新的特点,下面先介绍一下:
/selinux 文件系统 加入了一个/selinux 文件系统. 因此有些安装程序需要你编辑/etc/fstab 文件。 /selinux文件系统和 /proc 文件系统类似,都是虚拟的文件系统。你可以用ls -l /selinux 命令来显示。
total 0
-rw-rw-rw- 1 root root 0 Nov 25 11:27 access
-rw-rw-rw- 1 root root 0 Nov 25 11:27 context
-rw-rw-rw- 1 root root 0 Nov 25 11:27 create
-rw------- 1 root root 0 Nov 25 14:19 enforce
-rw------- 1 root root 0 Nov 25 11:27 load
-r--r--r-- 1 root root 0 Nov 25 11:27 policyvers
-rw-rw-rw- 1 root root 0 Nov 25 11:27 relabel
-rw-rw-rw- 1 root root 0 Nov 25 11:27 user
运行cat 命令查看 "enforce"文件将会显示一个值,代表SE Linux当前的状态,1 代表 enforcing状态, 0代表permissive 状态。
使用了文件系统的扩展属性 新的 SE Linux使用了文件系统的扩展属性(Extended attributes)来存放安全上下文(security contexts)。你必须让你的内核支持这种扩展属性属性。 扩展属性是一个 名称—数据 元组 (name-data tuple)-- 举个例子说, security.selinux 就是一个属性的名称,安全上下文(security context)就是要存的数据。 当SE Linux正在运行时,你可以用 ls --context filename 命令来查看一个文件的安全上下文(我们将在后面进一步解释这个命令),无论SE Linux是否打开,你都可以用getfattr 命令查看文件系统的扩展属性。不过你要先装支持 attr 的软件包并且通过 getfattr命令的manpage学会使用它。这个命令的运行方法是:
faye@kaos:~$ getfattr -m . -d /etc/passwd
getfattr: Removing leading '/' from absolute path names
# file: etc/passwd
security.selinux="system_u:object_r:etc_t\000"
你所查看的文件的 security.selinux 属性中储存了此文件的安全上下文, 所以上面例子中的上下文就是 system_u:object_r:etc_t 。所有运行了SE Linux的ext2/3文件系统上都有 security.selinux 这个属性(这个新特性的关键). 如果你引导了一个没有 SE Linux 的内核, 你将仍然看到这个扩展属性. 当你用make relabel 操作设置了文件的安全上下文期间,扩展属性就被setfiles 设置了。
从init加载SE Linux策略 打开了SE Linux的系统在引导时,init进程既要挂载 /selinux 文件系统,并在那之后载入SE Linux的策略。
安全ID(SIDs) 和 父进程安全ID(PSIDs) 不再使用 SIDs (安全ID) 在旧的 SE Linux 是用户进程的内核接口. PSIDs (父进程安全ID SIDs) 是内核映射(设置)磁盘上的文件的上下文的根据(译者注:这里的概念可能不是很清晰,总的来说就是SID和PSID在旧的SE Linux中起着标记安全上下文的作用)。 请看NSA的 Configuring the SELinux Policy 获得更多的帮助。 在新的SE Linux中, 扩展属性记录了安全上下文,所以SIDs和PSIDs 也就不必要了。
-Z 参数 -Z 可以替代 --context 命令参数,比如ls -Z 和 ps -Z.
用 chcon 命令替代了chsid命令 chsid 命令在旧的SE Linux中用来设置文件的安全上下文。新的SE Linux 中用chcon 命令来设置。 chcon 在旧的SE Linux 中已经可以使用,但是在新的SE Linux中的设置用户或类型方面得到了进一步改善。可以查看manpage 获得更多的提示。
在Debian中, 策略的源代码目录是/etc/selinux. 在Fedora 中是/etc/security/selinux/src/policy。 在这份文档中我市参照 Debian的源代码目录做的操作, 如果你是Fedora用户, 请用 /etc/security/selinux/src/policy替换。