1.SELinux定制策略
SELinux定制策略
从FC4和RHEL4开始,码下策略版本采用的码下是1.X,这些系统通常会提供策略源代码的码下RPM包。随着FC5的码下织梦 家政源码升级,策略版本提升到了2.X,码下引入了模块(module)的码下概念,使得一套策略源代码能够支持Multi-LevelSecurity(MLS)和non-MLS模式。码下FC5版本不再直接提供源代码包,码下但提供如audit2allow、码下semanage和semodule这样的码下工具,可用于开发简单的码下虎牙竞猜巅峰秒盘源码策略模块,如增加新的码下ROLE功能时,推荐从refpolicy源代码开始。码下 安装策略源代码时,码下首先从CVS服务器获取最新的码下源码,如果遇到编译问题,钱进与未出指标源码确保相关SELinux包已更新到最新版本。安装后的源代码目录包含三个文件,如sudo.fc定义文件上下文,sudo.te是类型强制执行定义,sudo.if是macd空中揽车指标源码模块接口定义。在/etc/selinux/refpolicy/src/policy目录下,通过修改build.conf和执行make命令生成SELinux模块,然后将SELINUXTYPE设为refpolicy并重启系统。 在开发程序策略时,一般步骤包括:为文件和端口分配类型标签,趋势线顶底 QS 源码设置Type Enforcement(包括Domain迁移和访问许可),加载策略,先在permissive模式下运行程序,检查日志并用audit2allow生成访问许可。不断重复这个过程直到没有违规日志,最后切换到enforcing模式,正式使用策略。对于已有的服务,只需简单修改对应的策略模块,例如使用Azureus下载工具时,需要为它创建一个新的azureus.pp模块,包括定义文件上下文、类型强制执行规则和接口调用。扩展资料
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux® 上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。