ProHoster > Blog > Administrasyon an > Kesyon yo poze souvan SELinux (FAQ)

Kesyon yo poze souvan SELinux (FAQ)

Bonjou tout moun! Espesyalman pou elèv kou yo "Sekirite Linux" Nou te prepare yon tradiksyon FAQ ofisyèl pwojè SELinux la. Nou sanble ke tradiksyon sa a ka itil pa sèlman pou elèv yo, kidonk nou pataje li avèk ou.

Kesyon yo poze souvan SELinux (FAQ)

Nou te eseye reponn kèk nan kesyon ki pi souvan poze sou pwojè SELinux la. Kounye a, kesyon yo divize an de kategori prensipal. Yo bay tout kesyon ak repons yo sou paj FAQ.

Revize

Revize

  1. Ki sa ki Sekirite Enhanced Linux?
    Sekirite-enhanced Linux (SELinux) se yon aplikasyon referans nan achitekti sekirite Flask pou kontwòl aksè fleksib ak ranfòse. Li te kreye pou demontre itilite mekanis kontwòl aksè fleksib ak ki jan mekanis sa yo ka ajoute nan sistèm operasyon an. Apre sa, achitekti Flask la te entegre nan Linux epi yo te pote sou plizyè lòt sistèm, tankou sistèm operasyon Solaris, sistèm operasyon FreeBSD, ak nwayo Darwin, ki te bay yon pakèt travay ki gen rapò. Achitekti Flask la bay sipò jeneral pou aplike plizyè kalite politik kontwòl aksè ki fè respekte, tankou sa ki baze sou konsèp Ranfòsman Kalite, Kontwòl Aksè ki baze sou wòl, ak Sekirite milti-nivo.
  2. Kisa Linux ranfòsman sekirite bay ke Linux estanda pa kapab?
    Kernel Linux ranfòsman sekirite a etabli règleman kontwòl aksè ki fè respekte restriksyon ki limite pwogram itilizatè yo ak sèvè sistèm yo nan seri privilèj minimòm yo bezwen pou fè travay yo. Avèk limit sa a, kapasite pwogram itilizatè sa yo ak demon sistèm sa yo pou yo lakòz domaj si yo konpwomèt (pa egzanp, yon debòde tanpon oswa move konfigirasyon) redwi oswa elimine. Mekanis restriksyon sa a travay poukont mekanis tradisyonèl kontwòl aksè Linux. Li pa gen konsèp nan yon "rasin" superutilisateur epi li pa pataje enpèfeksyon yo byen li te ye nan mekanis sekirite tradisyonèl Linux (pa egzanp, depandans sou binè setuid/setgid).
    Sekirite yon sistèm Linux ki pa modifye depann de kòrèkteman nwayo a, tout aplikasyon privilejye yo ak chak konfigirasyon yo. Yon pwoblèm nan nenpòt nan zòn sa yo ka lakòz tout sistèm nan konpwomèt. Kontrèman, sekirite yon sistèm modifye ki baze sou yon nwayo Linux ki amelyore sekirite depann prensipalman sou korèkte nwayo a ak konfigirasyon politik sekirite li yo. Malgre ke aplikasyon kòrèkteman oswa pwoblèm konfigirasyon ka pèmèt konpwomi limite nan pwogram itilizatè endividyèl ak demon sistèm, yo pa reprezante yon risk sekirite pou lòt pwogram itilizatè ak demon sistèm oswa pou sekirite sistèm nan an jeneral.
  3. Ki sa li bon pou?
    Nouvo karakteristik Linux ak sekirite amelyore yo fèt pou asire separasyon enfòmasyon ki baze sou kondisyon konfidansyalite ak entegrite. Yo fèt pou anpeche pwosesis li done ak pwogram yo, manyen done ak pwogram yo, kontourne mekanis sekirite aplikasyon yo, egzekite pwogram yo pa fè konfyans, oswa entèfere ak lòt pwosesis an vyolasyon règleman sekirite sistèm yo. Yo ede tou limite domaj potansyèl ki ka koze pa malveyan oswa malveyan. Yo ta dwe itil tou pou asire ke itilizatè ki gen otorizasyon sekirite diferan ka itilize menm sistèm nan jwenn aksè nan diferan kalite enfòmasyon ak kondisyon sekirite diferan san yo pa konpwomèt kondisyon sa yo.
  4. Kouman mwen ka jwenn yon kopi?
    Anpil distribisyon Linux gen ladan sipò pou SELinux, swa entegre kòm yon karakteristik default oswa kòm yon pake si ou vle. Kòd prensipal SELinux userland la disponib nan GitHub. Itilizatè final yo ta dwe jeneralman itilize pakè distribisyon yo bay yo.
  5. Ki sa ki enkli nan lage ou a?
    Lage NSA SELinux la gen ladan kòd debaz SELinux userland la. Sipò SELinux deja enkli nan nwayo prensipal Linux 2.6, ki disponib sou kernel.org. Kòd userland debaz SELinux la konsiste de yon bibliyotèk pou manipile politik binè (libsepol), yon konpilatè politik (checkpolicy), yon bibliyotèk pou aplikasyon sekirite (libselinux), yon bibliyotèk pou zouti jesyon politik (libsemanage), ak plizyè sèvis piblik ki gen rapò ak règleman yo (libselinux). policycoreutils).
    Anplis nwayo ki pèmèt SELinux la ak kòd itilizatè debaz la, w ap bezwen yon politik ak kèk pakè espas itilizatè SELinux-patche pou itilize SELinux. Politik la ka jwenn nan SELinux referans politik pwojè.
  6. Èske mwen ka enstale Hardened Linux sou yon sistèm Linux ki egziste deja?
    Wi, ou ka enstale sèlman modifikasyon SELinux sou yon sistèm Linux ki egziste deja, oswa ou ka enstale yon distribisyon Linux ki deja gen ladan sipò SELinux. SELinux konsiste de yon nwayo Linux ak sipò SELinux, yon seri bibliyotèk ak sèvis piblik, kèk pakè itilizatè modifye, ak konfigirasyon politik. Pou enstale li sou yon sistèm Linux ki egziste deja ki manke sipò SELinux, ou dwe kapab konpile lojisyèl an epi tou gen lòt pakè sistèm obligatwa yo. Si distribisyon Linux ou a deja gen ladan sipò SELinux, ou pa bezwen bati oswa enstale liberasyon NSA SELinux la.
  7. Kouman konpatib Sekirite Enhanced Linux ak Linux ki pa modifye?
    Sekirite Enhanced Linux bay konpatibilite binè ak aplikasyon Linux ki deja egziste ak modil nwayo Linux ki deja egziste, men kèk modil nwayo ka bezwen modifikasyon pou kominike byen ak SELinux. De kategori sa yo nan konpatibilite yo diskite an detay anba a:

    • Aplikasyon konpatibilite
      SELinux bay konpatibilite binè ak aplikasyon ki egziste deja. Nou te pwolonje estrikti done nwayo yo pou enkli nouvo atribi sekirite epi ajoute nouvo apèl API pou aplikasyon sekirite yo. Sepandan, nou pa chanje okenn estrikti done aplikasyon-vizib oswa chanje koòdone nenpòt apèl sistèm ki egziste deja, kidonk aplikasyon ki egziste deja yo ka kouri san modifikasyon si politik sekirite pèmèt yo kouri.
    • Konpatibilite modil Kernel
      Okòmansman, SELinux te bay konpatibilite natif natal sèlman pou modil nwayo ki deja egziste; li te nesesè yo rekonpile modil sa yo kont tèt yo nwayo chanje yo nan lòd yo ranmase nouvo jaden sekirite yo ajoute nan estrikti done nwayo yo. Depi LSM ak SELinux yo kounye a entegre nan prensipal Linux 2.6 nwayo a, SELinux kounye a bay konpatibilite binè ak modil nwayo ki egziste deja. Sepandan, kèk modil nwayo ka pa byen kominike avèk SELinux san modifikasyon. Pou egzanp, si yon modil nwayo dirèkteman asiyen epi mete yon objè nwayo san yo pa itilize fonksyon nòmal inisyalizasyon, Lè sa a, objè nwayo a ka manke enfòmasyon sekirite apwopriye. Gen kèk modil nwayo ki ka manke kontwòl sekirite apwopriye pou operasyon yo; Nenpòt apèl ki egziste deja nan fonksyon nwayo oswa fonksyon otorizasyon pral deklanche tou chèk pèmisyon SELinux, men plis granulaire oswa kontwòl adisyonèl yo ka mande pou aplike règleman MAC.
      Linux ki amelyore sekirite pa ta dwe lakòz pwoblèm entèoperabilite ak sistèm Linux regilye yo toutotan konfigirasyon politik sekirite a pèmèt tout operasyon ki nesesè yo.
  8. Ki objektif egzanp konfigirasyon politik sekirite a?
    Nan yon wo nivo, objektif la se demontre fleksibilite ak sekirite nan kontwòl aksè ranfòse epi bay yon sistèm travay senp ak chanjman minimòm nan aplikasyon yo. Nan yon nivo pi ba, yon politik gen yon kantite objektif ki dekri nan dokiman politik la. Objektif sa yo enkli kontwole aksè done anvan tout koreksyon, pwoteje entegrite nwayo a, lojisyèl sistèm, enfòmasyon konfigirasyon sistèm ak mòso bwa sistèm, limite domaj potansyèl ki ta ka koze lè eksplwate yon vilnerabilite nan yon pwosesis ki mande privilèj, pwoteje pwosesis privilejye kont egzekite move. kòd, pwoteje wòl admin ak domèn kont koneksyon san otantifikasyon itilizatè, anpeche pwosesis itilizatè nòmal yo entèfere ak pwosesis sistèm oswa admin, epi pwoteje itilizatè yo ak admin kont eksplwate vilnerabilite nan navigatè yo pa move kòd mobil.
  9. Poukisa yo te chwazi Linux kòm platfòm debaz la?
    Linux te chwazi kòm platfòm la pou premye aplikasyon referans travay sa a akòz siksè k ap grandi li yo ak anviwònman devlopman louvri. Linux bay yon opòtinite ekselan pou demontre ke fonksyonalite sa a ka gen siksè sou yon sistèm opere lame epi, an menm tan, kontribye nan sekirite a nan yon sistèm lajman itilize. Platfòm Linux la tou bay yon opòtinite ekselan pou travay sa a jwenn pi laj apèsi posib epi li ka sèvi kòm yon baz pou rechèch sekirite adisyonèl pa lòt amater.
  10. Poukisa ou te fè travay sa a?
    Laboratwa Rechèch Nasyonal pou Sekirite Enfòmasyon Ajans Sekirite Nasyonal la responsab pou rechèch ak devlopman avanse nan teknoloji ki nesesè pou pèmèt NSA bay solisyon sekirite enfòmasyon, pwodwi, ak sèvis pou enfrastrikti enfòmasyon enpòtan pou enterè sekirite nasyonal Etazini.
    Kreye yon sistèm operasyon solid, an sekirite rete yon defi rechèch kritik. Objektif nou se kreye yon achitekti efikas ki bay sipò sekirite nesesè, kouri pwogram yo nan yon fason ki trè transparan pou itilizatè a, epi ki atire vandè yo. Nou kwè ke yon etap enpòtan nan akonplisman objektif sa a se demontre ki jan mekanis kontwòl aksè ranfòse yo ka entegre avèk siksè nan sistèm opere ki kache.
  11. Ki jan sa a gen rapò ak rechèch NSA OS anvan yo?
    Chèchè nan National Information Assurance Research Laboratory ak Secure Computing Corporation (SCC) NSA a te devlope yon achitekti kontwòl aksè pwisan ak fleksib ki baze sou Ranfòsman Kalite, yon mekanis premye devlope pou sistèm LOCK la. NSA ak SCC te devlope de pwototip achitekti ki baze sou Mach: DTMach ak DTOS (http://www.cs.utah.edu/flux/dtos/). Apre sa, NSA ak SCC te travay ak gwoup rechèch Flux nan University of Utah pou pote achitekti a nan sistèm operasyon rechèch Fluke. Pandan migrasyon sa a, achitekti a te rafine pou pi byen sipòte politik sekirite dinamik. Achitekti amelyore sa a te rele Flask (http://www.cs.utah.edu/flux/flask/). Koulye a, NSA te entegre achitekti Flask la nan sistèm operasyon Linux la pou pote teknoloji a nan pi laj kominote devlopè ak itilizatè yo.
  12. Èske Linux ki gen plis sekirite se yon sistèm opere serye?
    Fraz "Trusted Operating System" an jeneralman refere a yon sistèm opere ki bay ase sipò pou plizyè kouch sekirite ak prèv konsèp pou satisfè yon seri espesifik egzijans gouvènman an. Sekirite-Enhanced Linux enkòpore ide itil nan sistèm sa yo, men konsantre sou ranfòsman kontwòl aksè. Objektif inisyal la nan devlope Linux ranfòsman sekirite se te kreye fonksyonalite itil ki bay benefis sekirite byen mèb nan yon pakèt anviwònman mond reyèl pou demontre teknoloji a. SELinux tèt li se pa yon sistèm opere ou fè konfyans, men li bay yon karakteristik sekirite kritik—kontwòl aksè ranfòse—nesesite pa yon sistèm opere ou fè konfyans. SELinux te entegre nan distribisyon Linux ki te evalye dapre Pwofil Pwoteksyon Sekirite ki make. Ou ka jwenn enfòmasyon sou pwodwi teste ak verifye nan http://niap-ccevs.org/.
  13. Èske li vrèman pwoteje?
    Konsèp yon sistèm an sekirite gen ladann anpil atribi (pa egzanp, sekirite fizik, sekirite pèsonèl, elatriye), ak Linux ak sekirite améliorée adrese sèlman yon seri trè etwat nan atribi sa yo (ki se, kontwòl aksè ranfòsman yo nan sistèm operasyon an) . Nan lòt mo, yon "sistèm sekirite" vle di ase sekirite pou pwoteje kèk enfòmasyon nan mond reyèl la kont yon advèsè reyèl kont ki pwopriyetè a ak/oswa itilizatè enfòmasyon an te avèti. Sekirite Enhanced Linux gen entansyon sèlman pou demontre kontwòl ki nesesè yo nan yon sistèm opere modèn tankou Linux, e se poutèt sa se fasil satisfè nenpòt definisyon enteresan nan yon sistèm an sekirite poukont li. Nou kwè ke teknoloji yo demontre nan Linux ranfòsman sekirite yo pral itil moun ki bati sistèm an sekirite.
  14. Kisa ou fè pou amelyore garanti a?
    Objektif pwojè sa a se te ajoute kontwòl ranfòsman ak chanjman minimòm nan Linux. Dènye objektif sa a limite anpil sa ki ka fè pou amelyore asirans, kidonk pa te gen okenn travay ki vize pou amelyore asirans Linux. Nan lòt men an, amelyorasyon yo bati sou travay anvan yo sou konsepsyon achitekti sekirite segondè, ak pi fò nan prensip konsepsyon sa yo te pote sou Linux ak sekirite amelyore.
  15. Èske CCEVS evalye Linux ak sekirite amelyore?
    Sekirite-Enhanced Linux tèt li pa fèt pou adrese tout seri pwoblèm sekirite pwofil sekirite a prezante. Malgre ke li ta posib pou evalye sèlman fonksyonalite aktyèl li yo, nou kwè ke yon evalyasyon sa a ta gen yon valè limite. Sepandan, nou te travay ak lòt moun pou mete teknoloji sa a nan distribisyon Linux ki te evalye ak distribisyon ki anba evalyasyon. Ou ka jwenn enfòmasyon sou pwodwi teste ak verifye nan http://niap-ccevs.org/.
  16. Èske w te eseye patch nenpòt vilnerabilite?
    Non, nou pa t chèche oswa jwenn okenn frajilite pandan travay nou an. Nou te sèlman fè minimòm la pou ajoute nouvo mekanis nou yo.
  17. Èske sistèm sa a apwouve pou sèvi ak gouvènman an?
    Sekirite-enhanced Linux pa gen okenn apwobasyon espesyal oswa adisyonèl pou itilizasyon gouvènman an sou nenpòt lòt vèsyon Linux.Sekirite-enhanced Linux pa gen okenn apwobasyon espesyal oswa adisyonèl pou itilizasyon gouvènman an sou nenpòt lòt vèsyon Linux.
  18. Ki jan sa a diferan de lòt inisyativ?
    Sekirite-Enhanced Linux gen yon achitekti ki byen defini pou ranfòsman fleksib nan kontwòl aksè, ki te valide eksperimantal lè l sèvi avèk plizyè sistèm pwototip (DTMach, DTOS, Flask). Etid detaye yo te fèt sou kapasite achitekti a pou sipòte yon pakèt règleman sekirite epi yo disponib nan http://www.cs.utah.edu/flux/dtos/ и http://www.cs.utah.edu/flux/flask/.
    Achitekti a bay kontwòl amann sou anpil abstraksyon nwayo ak sèvis ki pa kontwole pa lòt sistèm yo. Kèk nan karakteristik distenktif yon sistèm Linux ak sekirite amelyore yo se:

    • Netwaye separasyon politik ak dwa aplikasyon yo
    • Entèfas politik byen defini
    • Endepandans de politik espesifik ak lang politik
    • Endepandans nan fòma etikèt sekirite espesifik ak kontni
    • Etikèt separe ak kontwòl pou objè ak sèvis nwayo
    • Cache desizyon aksè pou efikasite
    • Sipò pou chanjman politik yo
    • Kontwòl sou inisyalizasyon pwosesis ak eritaj pwogram ak ekzekisyon
    • Jere sistèm dosye, anyè, dosye ak deskripsyon dosye louvri
    • Jere priz, mesaj ak koòdone rezo
    • Kontwòl sou itilizasyon "Opòtinite"
  19. Ki restriksyon lisans pou sistèm sa a?
    Tout kòd sous yo jwenn sou sit la https://www.nsa.gov, distribye anba menm kondisyon ak kòd sous orijinal la. Pou egzanp, plak pou nwayo Linux la ak plak pou anpil sèvis piblik ki egziste deja ki disponib isit la yo pibliye anba kondisyon ki nan GNU General Public License (GPL).
  20. Èske gen kontwòl ekspòtasyon?
    Linux ak Enhanced Security pa gen okenn lòt kontwòl ekspòtasyon konpare ak nenpòt lòt vèsyon Linux.
  21. Èske NSA planifye pou itilize li domestik?
    Pou rezon evidan, NSA a pa fè kòmantè sou itilizasyon operasyonèl.
  22. Èske Deklarasyon Asirans Secure Computing Corporation 26 jiyè 2002 la chanje pozisyon NSA ke SELinux te bay anba Lisans Piblik Jeneral GNU?
    Pozisyon NSA a pa chanje. NSA a kontinye kwè ke tèm ak kondisyon Lisans Piblik Jeneral GNU gouvène itilizasyon, kopye, distribisyon ak modifikasyon SELinux. Cm. NSA Press Release 2 janvye 2001.
  23. Èske NSA sipòte lojisyèl sous louvri?
    Inisyativ sekirite lojisyèl NSA yo kouvri tou de lojisyèl pwopriyetè ak sous louvri, epi nou te itilize avèk siksè tou de modèl propriétaires ak sous louvri nan aktivite rechèch nou yo. Travay NSA pou amelyore sekirite lojisyèl an motive pa yon konsiderasyon senp: pwofite resous nou yo pou bay kliyan NSA pi bon opsyon sekirite posib nan pwodwi ki pi lajman itilize yo. Objektif pwogram rechèch NSA a se devlope pwogrè teknolojik ki ka pataje ak kominote devlopman lojisyèl atravè divès mekanis livrezon. NSA a pa andose oswa ankouraje okenn pwodwi lojisyèl espesifik oswa modèl biznis. Olye de sa, NSA a ap ankouraje sekirite.
  24. Èske NSA sipòte Linux?
    Jan nou note pi wo a, NSA pa andose oswa ankouraje okenn pwodwi lojisyèl espesifik oswa platfòm; NSA a sèlman ede amelyore sekirite. Achitekti Flask yo demontre nan aplikasyon referans SELinux yo te pote sou plizyè lòt sistèm opere, tankou Solaris, FreeBSD, ak Darwin, yo te pote sou ipèvizè Xen, epi yo te aplike nan aplikasyon tankou X Window System, GConf, D-BUS, ak PostgreSQL. Konsèp achitekti flakon yo lajman aplikab nan yon pakèt sistèm ak anviwònman.

Koperasyon

  1. Ki jan nou planifye pou kominike avèk kominote Linux la?
    Nou genyen seri paj wèb sou NSA.gov, ki pral sèvi kòm prensipal fason nou pibliye enfòmasyon sou Linux ak sekirite amelyore. Si w enterese nan Linux ki amelyore sekirite, nou ankouraje w rantre nan lis adrès pwomotè a, revize kòd sous la, epi bay fidbak ou (oswa kòd). Pou rantre nan lis adrès devlopè yo, gade Paj lis adrès pwomotè SELinux.
  2. Ki moun ki ka ede?
    SELinux kounye a sipòte ak devlope pa kominote a lojisyèl sous louvri Linux.
  3. Èske NSA finanse nenpòt travay swivi?
    Kounye a, NSA pa ap konsidere pwopozisyon pou plis travay.
  4. Ki kalite sipò ki disponib?
    Nou gen entansyon rezoud pwoblèm atravè lis adrès la [imèl pwoteje], men nou ka pa kapab reponn tout kesyon ki gen rapò ak yon sit patikilye.
  5. Ki moun ki te ede? Kisa yo te fè?
    NSA te devlope pwototip Linux ki gen sekirite ak patnè rechèch NAI Labs, Secure Computing Corporation (SCC), ak MITRE Corporation. Apre premye lage piblik la, anpil lòt materyèl te swiv. Gade lis patisipan yo.
  6. Kouman mwen ka jwenn plis enfòmasyon?
    Nou ankouraje w vizite paj wèb nou yo, li dokimantasyon ak papye rechèch ki sot pase yo, epi patisipe nan lis adrès nou an [imèl pwoteje]

Èske ou jwenn tradiksyon an itil? Ekri kòmantè!

Sous: www.habr.com

Add nouvo kòmantè