請問您還用 selinux 嗎? - Linux
By Necoo
at 2010-02-11T13:52
at 2010-02-11T13:52
Table of Contents
※ 引述《pgychen (pp)》之銘言:
: 記得好像是 2000 年 (遠目)
: 美國國家安全單位, 在沒有預告的情況下, 發出了一個 selinux
: 突然之間, linux 讓人覺得價值倍增, 因為有美國國家安全單位的背書
: "國家安全保證"耶, 各套件也都紛紛地加入此一套件
這樣講怪怪的,selinux是NSA為了加強linux的安全性才開發出來的,不是背書
它也不是一個套件而已,是一個架構,而且需要kernel支援
光是所有的檔案都要加上seliunx labels,這連檔案系統和工具都要改了吧
: 但 ubuntu/debian 則直接不安裝了
debian lenny的selinux進入standard套件類別了,不過還是沒有預設啟動
: 現在在 google 上 selinux 的搜尋建議,竟然是 "selinux 關閉", "selinux disable"
: 排在最前面兩名, 所以代表大部分人, 還是先關掉它
: 想請問大家
: 是 selinux 很難設定嗎? 還是 linux 本身就很安全了, 一點都不需要 selinux ?
我覺得不難,基本上我用fedora除了第三方套件,幾乎沒什麼selinux衝突需要解決的
遇到衝突,現在也有很方便的selinux troubeshooting工具,具體呈現和提供建議
不用像以往一樣要到messages or aduit.log去挖,挖到還不一定看得懂
大部分的衝突都是file label錯了,比如說把/home底下的東西直接搬去/var/www
httpd就不會吃。再來是有些第三方lib要relax,用chcon -t textrel_shlib_t改掉就行
最後大絕招就是自訂規則,也不難,都有現成工具,只要把selinux denied的訊息餵入
就可以產生自定規則了。Fedora Doc有很完整的selinux說明文件
至於安全,我曾經有跑過一台Fedora Core 5三年,早就過了更新支援,沒事
但其它兩台Solaris卻被駭,所以我架server一定會開selinux
--
Nice to meld you.
--
: 記得好像是 2000 年 (遠目)
: 美國國家安全單位, 在沒有預告的情況下, 發出了一個 selinux
: 突然之間, linux 讓人覺得價值倍增, 因為有美國國家安全單位的背書
: "國家安全保證"耶, 各套件也都紛紛地加入此一套件
這樣講怪怪的,selinux是NSA為了加強linux的安全性才開發出來的,不是背書
它也不是一個套件而已,是一個架構,而且需要kernel支援
光是所有的檔案都要加上seliunx labels,這連檔案系統和工具都要改了吧
: 但 ubuntu/debian 則直接不安裝了
debian lenny的selinux進入standard套件類別了,不過還是沒有預設啟動
: 現在在 google 上 selinux 的搜尋建議,竟然是 "selinux 關閉", "selinux disable"
: 排在最前面兩名, 所以代表大部分人, 還是先關掉它
: 想請問大家
: 是 selinux 很難設定嗎? 還是 linux 本身就很安全了, 一點都不需要 selinux ?
我覺得不難,基本上我用fedora除了第三方套件,幾乎沒什麼selinux衝突需要解決的
遇到衝突,現在也有很方便的selinux troubeshooting工具,具體呈現和提供建議
不用像以往一樣要到messages or aduit.log去挖,挖到還不一定看得懂
大部分的衝突都是file label錯了,比如說把/home底下的東西直接搬去/var/www
httpd就不會吃。再來是有些第三方lib要relax,用chcon -t textrel_shlib_t改掉就行
最後大絕招就是自訂規則,也不難,都有現成工具,只要把selinux denied的訊息餵入
就可以產生自定規則了。Fedora Doc有很完整的selinux說明文件
至於安全,我曾經有跑過一台Fedora Core 5三年,早就過了更新支援,沒事
但其它兩台Solaris卻被駭,所以我架server一定會開selinux
--
Nice to meld you.
--
Tags:
Linux
All Comments
By Eden
at 2010-02-11T20:49
at 2010-02-11T20:49
Related Posts
請問您還用 selinux 嗎?
By Barb Cronin
at 2010-02-11T12:29
at 2010-02-11T12:29
apt-get package問題
By Quintina
at 2010-02-11T10:06
at 2010-02-11T10:06
關於Unix的makefile
By Elizabeth
at 2010-02-11T00:42
at 2010-02-11T00:42
kd4的BUG?
By Brianna
at 2010-02-10T23:12
at 2010-02-10T23:12
chrome OS 和 chrome之類的差異?
By Quanna
at 2010-02-10T22:27
at 2010-02-10T22:27