Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Другие технологии: SELinux.

Рубрика: Безопасность -> Управление доступом
Метки: | | | |
Среда, 15 июля 2009 г.
Просмотров: 6386
Подписаться на комментарии по RSS

Security Enhanced Linux (SELinux) - это проект Агентства правительственной безопасности США (U.S. NSA). Репутация такого ведомс­тва говорит о серьезности проекта - там к безопасности относятся очень серьезно. Да и сам проект получился очень удачным - SELinux входит в со­став многих современных дистрибутивов и выясняется по умолчанию (правда, также по умолчанию не активизируется).


SELinux организует в ядре своеобразную МАС-модель (используя комби­нацию моделей DTE и RBAC). Система SELinux предлагает детализован­ный контроль привилегий, предоставляемых пользователю и процессу.

SELinux - не просто система безопасности, это переход с традиционной DAC-системы («все или ничего» - у вас либо полный контроль над системой,, либо вообще нет контроля), в которой решения о предоставлении доступа базировались на ID пользователя и правах файлов, в другое изме­рение безопасности.

Чтобы показать, насколько безопасна данная система, в Интернете всем же­лающим предоставлялся root-доступ к машинам NSA. Цель эксперимента заключалась в следующем: сможет ли кто-то получить контроль над систе­мой, на которой установлена SELinux, при условии, что у него будут права root. Пока никто данного не смог сделать.

Начально SELinux поставлялась как патч для ядра (2.2 или 2.4), сей­час она полностью поддерживает концепцию LSM и поставляется в виде LSM-модуля.

Сейчас поддержка SELinux есть в дистрибутивах Fedora Core, Debian и Gentoo. Примечательно, что Fedora Core стал первым дистрибутивом, где SELinux устанавливалась по умолчанию, но не активизировалась, посколь­ку настройка SELinux для начинающего пользователя - очень сложная (если не сказать - непосильная) задача.

Наибольший недостаток SELinux - это ее сложность настройки. Система действительно сложна в настройке, потому что многие администраторы с ней не знакомы, они не могут ее полностью правильно настроить, что при­водит к «дырам» в безопасности. Для полной настройки системы необходи­мо потратить несколько недель.

Для каждого пользователя и для каждого приложения в SELinux должны быть заданы правила, что отнимает много времени, особенно на много­пользовательской рабочей станции. Поэтому часто SELinux применяется на серверах, которые выполняют всего одну задачу, к примеру DNS-сервер, почтовый сервер или Web-сервер.

Комментариев: 1

  1. 2014-11-20 в 15:03:07 | Комментатор 2

    если система безопасности используется для контроля времени прихода сотрудников, то лучше взять сервис StaffBase. Для меня, как руководителя он предоставляет хорошую статистку. Довольна - http://staff-base.net/about.html

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)