NSA SELinux (v 1.22-r1 переклад: бета версія)

ІМ'Я

SELinux - розширення можливостей безпеки для Лінукс написане Національною Агенцією Безпеки (НАБ) США.

ОПИС

Розширення безпеки Лінукс НАБ (SELinux) є гнучкою реалізацією архітектури делегованого контролю доступу в операційній системі Лінукс. Архітектура SELinux дає загальну підтримку багатьох зусиль різних політик по забезпеченню делегованого контролю доступу, включаючи ті що основуються на концепціях: Зусиллі Контролю Типів (Type EnforcementA(R)), Контролі Доступу Основаному на Ролях (Role-Based Access Control), та Багато Рівневій Безпеці (Multi-Level Security). Загальну інформацію та технічну документацію про SELinux можна знайти на http://www.nsa.gov/selinux.

Файл налаштування /etc/selinux/config контролює чи SELinux включений чи виключений, а якщо включений то в якому режимі він працює: permissive, чи enforcing. Змінна SELINUX може приймати три значення: disabled, permissive, чи enforcing для вибору одної з цих опцій. Опція "disabled" повністю відключає SELinux на рівні ядра та програм і залишає систему працювати без будь-якого захисту SELinux. Опція "permissive" включає політику SELinux, але в режимі у якому доступ заборонений політикою буде дозволений, але факт такого доступу протоколюється аудитом. Опція "enforcing" включає політику SELinux в режимі заборони доступу та протоколює аудитом його спроби. Режим permissive може породжувати різні варіанти заборони доступу на противагу режиму enforcing, з двох причин: туму що при режимі enforcing буде заборонена будь-яка спроба з самого початку забороненої операції не аналізуючи навіть шлях її виконання і тому що при забороні доступу код деяких програм буде переведений в непривілейований режим виконання.

Файл налаштування /etc/selinux/config також контролює яка з політик активна в системі. SELinux дозволяє встановлювати багато політик, але в будь-який момент часу тільки одна зних може бути актиавна. На сьогодні існує два види політик SELinux: планувальна (targeted) та жорсткообмежувальна (strict). Планувальна політика розроблена, як політика при якій більшість процесів працюють без обмежень і тільки спеціальні сервіси поміщаються в домен обмежений політикою. Для прикладу, користувачі можуть працювати в повністю необмеженому середовищі, в той час коли сервіси named чи apache будуть працювати в спеціальному домені розробленому для їх роботи. Жорсткообмежувальна політика є розроблена, як політика при якій всі процеси є розподілені по добре прорахованому домені безпеки і обмежені політикою. Передбачається в майбутньому створення інших політик (наприклад Багато-Рівневої Безпеки). Ви можите визначати яку політику використовувати встановивши змінну середовища SELINUXTYPE у файлі /etc/selinux/config. Для кожної такої політики, відповідне налаштування політики, мусить бути встановлене в директорію /etc/selinux/SELINUXTYPE/

Дані політики SELinux можна підлаштовувати в майбутньому основуючись на оптимізаційних опціях підчас компіляції та логічних установках підчас роботи. system-config-securitylevel дозволяє підлаштування та оптимізацію цих логічних установок.

АВТОРИ

Ця сторінка була написана Даном Валшом (Dan Walsh) dwalsh@redhat.com

ПОДІБНІ ТЕМИ

?load policy(8), checkpolicy(8), setfiles(8), ?booleans(8), ?setsebool(8), ?selinuxenabled(8), ?togglesebool(8).

ФАЙЛИ

/etc/selinux/config