收藏
下载资源

selinux 中文手册

上传人:xzh****18 文档编号:44559858 上传时间:2018-06-14 格式:PDF 页数:22 大小:332.42KB
返回 下载 相关 举报
selinux 中文手册_第1页
第1页 / 共22页
selinux 中文手册_第2页
第2页 / 共22页
selinux 中文手册_第3页
第3页 / 共22页
selinux 中文手册_第4页
第4页 / 共22页
selinux 中文手册_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《selinux 中文手册》由会员分享,可在线阅读,更多相关《selinux 中文手册(22页珍藏版)》请在金锄头文库上搜索。

1、Getting Started with SE Linux HOWTO:the new SE Linux Getting Started with SE Linux HOWTO: Getting Started with SE Linux HOWTO: the new SE Linux the new SE Linux (简体中文版)(简体中文版)1Getting Started with SE Linux HOWTO:the new SE Linux Getting Started with SE Linux HOWTO: the new SE Linux Getting Started w

2、ith SE Linux HOWTO: the new SE Linux (译者注:本文的最原始版本为 2004 年 3 月所写,此份 HOWTO 是作者在今年 2 月根据最 新的 SE Linux 所作的修改后的版本。新的 SE Linux 与以前的有比较大的变化,而且这项技 术本身也正在飞速的发展,并未最后成熟。阅读本文是需要对 Linux 本身有一定深度的了解 作为基础的。本文并不是 Linux 的初级教程,但却是 SE Linux 技术的初级教程。 ) 原著:Faye Coker, March 2004.原著:Faye Coker, March 2004. fayelurking-gr

3、ue.org 中文译者:邹立巍, 2006 年 7 月 ; 重要的提示!注意!重要的提示!注意! 我正在根据最新的我正在根据最新的 SE Linux 来根本的升级这份文档。我用了很长时间来做这件事情,不过 看来我好像永远没有足够的时间作完它。我现在正在继续做,请相信我!来根本的升级这份文档。我用了很长时间来做这件事情,不过 看来我好像永远没有足够的时间作完它。我现在正在继续做,请相信我! Faye Coker, Feb 04, 2006 (译者注:本人技术出身,英语实在比较差。翻译如有不当之处,敬请指正! )(译者注:本人技术出身,英语实在比较差。翻译如有不当之处,敬请指正! ) 这份文档已经

4、根据最新的 SE Linux 做了更改。旧的“Getting Started with SE Linux HOWTO“ 的内容将保留在此份文档里, 不过绝大多数的内容是根据最新的 SE Linux 的特点作了修改。 新的 SE Linux 是基于 2.6.*内核的,但是仍然支持 2.4.*的内核。这份文档的大部分内容是原 来的,我在需要修改的地方做了调整。 这份文档是美国国家安全局的安全加强的 Linux(NSA SE Linux)的概述性的说明。我们主 要的环境是基于 Debian Linux 的, 而且大部分的软件包的操作命令实例都是基于 Debian 的。 这份文档主要是针对那些想要基础

5、了解 SE Linux 的人,所以这里没有对 SE Linux 比较进介 的介绍。你可以在附录的资源资源部分找到其它介绍 SE Linux 的资料。 这份文档已经被Ivan Pesin翻译成了俄文。你可以在 http:/ 目录目录 1 介绍 1.1 欢迎反馈! 1.2 注意! 1.3 最新的 SE Linux 的特色 1.4 Fedora 用户的策略(policy)源代码目录介绍 2 概览 2.1 为什么要使用 SE Linux? 2Getting Started with SE Linux HOWTO:the new SE Linux 2.2 术语的使用 2.2.1 身份(identity)

6、 2.2.2 域(domain) 2.2.3 类型(type) 2.2.4 角色(role) 2.2.5 安全上下文(security context) 2.2.6 转换(transition) 2.2.7 策略(policy) 3安装 3.1. 基于Debian的安装 3.1.1. 修改 Debian 包管理工具 3.2. 基于 Fedora 的安装 4登录 4.1. 在登录时提供用户上下文 4.2. 用 newrole -r 命令改变上下文 4.3. 在 sysadm_t 域中执行命令 4.4. Permissive 和 Enforcing 模式 4.5. 不同角色运行命令的比较 5建立用

7、户帐户 5.1. 建立一个新的用户 5.2. 给用户分配角色和申请改变 5.3. 给用户设置缺省的安全上下文 5.4. 重新标记用户主目录 6添加新的用户域 6.1. 编辑用户的域文件 6.2. 在此建立一个新的测试用户 7日志文件信息的说明 8资源 1. 介绍 1. 介绍 这份文档是一个 SE Linux 的简介,可以指导一部分人初步的学会 SE Linux。它 涵盖和解释了 SE Linux 的各方面的术语,安装和添加用户并且涵盖了一小部分 别的知识。一个更高级的帮助文档将会在不久发布(译者注:正在翻译中), 包 含了如何编辑策略等内容。 (which causes a little to

8、o much information overload with users new to SE Linux and is not included here). 3Getting Started with SE Linux HOWTO:the new SE Linux 1.1. 欢迎反馈! 1.1. 欢迎反馈! 我们欢迎对这份文档的反馈信息,请发邮件给 fayelurking-grue.org (中文 的就给我吧!;)) 1.2. 注意! 1.2. 注意! 这份文档只是一份指导。 我强烈的建议你在实际工作的机器上应用之前先找一台试验机器来 做练习 。 1.3. 最新的 SE Linux 的特

9、点 1.3. 最新的 SE Linux 的特点 最新的 SE Linux 有一些新的特点,下面先介绍一下: /selinux/selinux 文件系统 文件系统 加入了一个/selinux 文件系统. 因此有些安装程序需要你编辑/etc/fstab 文 件。 /selinux文件系统和 /proc 文件系统类似,都是虚拟的文件系统。你可 以用ls -l /selinux 命令来显示。 total 0 -rw-rw-rw- 1 root root 0 Nov 25 11:27 access -rw-rw-rw- 1 root root 0 Nov 25 11:27 context -rw-rw-

10、rw- 1 root root 0 Nov 25 11:27 create -rw- 1 root root 0 Nov 25 14:19 enforce -rw- 1 root root 0 Nov 25 11:27 load -r-r-r- 1 root root 0 Nov 25 11:27 policyvers -rw-rw-rw- 1 root root 0 Nov 25 11:27 relabel -rw-rw-rw- 1 root root 0 Nov 25 11:27 user 运行 cat 命令查看 “enforce“文件将会显示一个值,代表 SE Linux 当前的状态,1

11、 代表 enforcing 状态, 0 代表 permissive 状态。 使用了文件系统的扩展属性使用了文件系统的扩展属性 新的 SE Linux 使用了文件系统的扩展属性(Extended attributes)来存放安 全上下文 (security contexts) 。 你必须让你的内核支持这种扩展属性属性。 扩 展属性是一个 名称数据 元组 (name-data tuple)- 举个例子说, security.selinuxsecurity.selinux 就是一个属性的名称,安全上下文(security context)就 是要存的数据。 当 SE Linux 正在运行时,你可以用

12、 ls -context filename 命 令来查看一个文件的安全上下文(我们将在后面进一步解释这个命令),无论 SE Linux 是否打开,你都可以用getfattr 命令查看文件系统的扩展属性。不过你 要先装支持 attrattr 的软件包并且通过 getfattr命令的 manpage 学会使用它。这 个命令的运行方法是: 4Getting Started with SE Linux HOWTO:the new SE Linux fayekaos:$ getfattr -m . -d /etc/passwd getfattr: Removing leading / from abso

13、lute path names # file: etc/passwd security.selinux=“system_u:object_r:etc_t000“ 你所查看的文件的 security.selinux 属性中储存了此文件的安全上下文, 所以上面例子中的 上下文就是 system_u:object_r:etc_t 。所有运行了 SE Linux 的 ext2/3 文件系统上都有 security.selinux 这个属性(这个新特性的关键). 如果你引导了一个没有 SE Linux 的内核, 你将仍然看到这个扩展属性. 当你用 make relabel 操作设置了文件的安全上下文期间

14、,扩展 属性就被 setfiles 设置了。 从 init 加载 SE Linux 策略从 init 加载 SE Linux 策略 打开了 SE Linux 的系统在引导时,init 进程既要挂载 /selinux 文件系统,并 在那之后载入 SE Linux 的策略。 安全ID(SIDs) 和 父进程安全ID(PSIDs) 不再使用安全ID(SIDs) 和 父进程安全ID(PSIDs) 不再使用 SIDs (安全ID) 在旧的 SE Linux 是用户进程的内核接口. PSIDs (父进程安全 ID SIDs) 是内核映射(设置)磁盘上的文件的上下文的根据(译者注:这里的 概念可能不是很清晰

15、,总的来说就是SID和PSID在旧的SE Linux中起着标记安全 上下文的作用)。 请看NSA的 Configuring the SELinux Policy 获得更多的帮 助。 在新的SE Linux中, 扩展属性记录了安全上下文,所以SIDs和PSIDs 也就 不必要了。 -Z 参数-Z 参数 -Z 可以替代 -context 命令参数,比如 ls -Z 和 ps -Z. 用 chcon 命令替代了 chsid 命令用 chcon 命令替代了 chsid 命令 chsid 命令在旧的 SE Linux 中用来设置文件的安全上下文。新的 SE Linux 中 用chcon 命令来设置。 chcon 在旧的 SE Linux 中已经可以使用,但是在新的 SE Linux 中的设置用户或类型方面得到了进一步改善。可以查看 manpage 获得 更多的提示。 1.4. Fedora 用户的策略(

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 理论文章

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号