增強安全性的Linux(SELinux)是美國安全部的一個研發項目,它的目的在於增強開發代碼的Linux核心,以提供更強的保護措施,防止一些關於安全方面的應用程式走彎路,減輕惡意軟體帶來的災難。
普通的Linux 與SELinux相比較
普通的Linux系統的安全性是依賴核心的,這個依賴是通過setuid/setgid產生的。在傳統的安全機制下,暴露了一些應用授權問題、配置問題或進程運行造成整個系統的安全問題。這些問題在現在的作業系統中都存在,這是由於他們的複雜性和與其它程式的互用性造成的。
SELinux只單單依賴於系統的核心和安全配置政策。一旦你正確配置了系統,不正常的應用程式配置或錯誤將只返回錯誤給使用者的程式和它的系統背景程式。其它使用者程式的安全性和他們的背景程式仍然可以正常運行,並保持著它們的安全系統結構。
用簡單一點的話說就是:沒有任何的程式配置錯誤可以造成整個系統的崩潰。
安裝SELinux SELinux的核心、工具、程式/工具包,還有文檔都可以到增強安全性的Linux網站上上下載你必須有一個已經存在的Linux系統來編譯你的新核心,這樣才能訪問沒有更改的系統補丁包。
開發人員使用紅帽Linux來測試目前的這個版本。這個Linux和目前的Linux應用程式非常相容,並且它包含了一個考慮到安全問題的系統調用。
另外,你可以編譯這個核心,使它在允許的狀態下運行。這個模式允許審計安全配置政策,並決定安裝使用者應用程式和系統操作所需要的許可。你不需要重新安裝系統,可以隨時通過改變這個操作的模式來增強系統的功能。
為什麼要使用SELinux? 最好的使用SELinux的原因就是,它可以增強存取控制來限制使用者程式訪問的最低許可權。
其它好的改進是:
對核心對象和服務的存取控制 對進程初始化、繼承和程式執行的存取控制 對檔案系統、目錄、檔案和開啟檔案描述的存取控制 對連接埠、資訊和網路介面的存取控制。 最後的思考 SELinux減少了防止系統崩潰所需要調整的使用者和系統程式。你現在就可以使用補丁包升級Linux,使它符合你的計劃需要。
因為SELinux目前仍然是一個開發項目,NSA並沒有向使用者推薦使用這個系統來儲存比較重要的資訊。但是,在去年,我曾經運行過SELinux,並沒有遇到過任何的系統崩潰情況。
是否好用,由你自己測試、自己決定。它是免費的,而且非常好用!
例如: http://fedora.redhat.com/projects/selinux/ '