ProHoster > Blog > Administrasi > SELinux Patarosan Sering (FAQ)

SELinux Patarosan Sering (FAQ)

Halo sadayana! Utamana pikeun mahasiswa kursus "Kaamanan Linux" kami parantos nyiapkeun tarjamahan tina FAQ resmi proyék SELinux. Sigana mah tarjamahan ieu tiasa mangpaat henteu ngan ukur pikeun murid, ku kituna kami bagikeun ka anjeun.

SELinux Patarosan Sering (FAQ)

Kami parantos nyobian ngajawab sababaraha patarosan anu sering ditaroskeun ngeunaan proyék SELinux. Patarosan ayeuna dibagi kana dua kategori utama. Sadaya patarosan sareng waleran dipasihkeun dina kaca FAQ.

gambaran

gambaran

  1. Naon Linux anu Ditingkatkeun Kaamanan?
    Kaamanan-ditingkatkeun Linux (SELinux) nyaéta palaksanaan rujukan arsitektur kaamanan Flask pikeun fléksibel, kontrol aksés enforced. Dijieunna pikeun nunjukkeun mangpaat mékanisme palaksanaan anu fleksibel sareng kumaha mékanisme sapertos tiasa nambihan kana sistem operasi. Arsitéktur Flask satuluyna diintegrasikeun kana Linux jeung diasupkeun kana sababaraha sistem séjénna, kaasup sistem operasi Solaris, sistem operasi FreeBSD, jeung kernel Darwin, nu nimbulkeun rupa-rupa karya nu patali. Arsitéktur Flask nyadiakeun pangrojong umum pikeun ngalaksanakeun sababaraha jinis kawijakan penegak kontrol aksés, kalebet anu dumasar kana konsép Type Enforcement, Kontrol Aksés Berbasis Peran, sareng Kaamanan Multi-level.
  2. Naon anu disayogikeun ku Linux anu ditingkatkeun kaamanan anu standar Linux henteu tiasa?
    Kernel Linux anu ditingkatkeun kaamanan ngalaksanakeun kabijakan kontrol aksés anu dikuatkeun anu ngabatesan program pangguna sareng server sistem kana set minimum hak husus anu diperyogikeun pikeun ngalaksanakeun tugasna. Kalayan larangan ieu, kamampuan program pangguna sareng daemon sistem ieu tiasa nyababkeun cilaka upami aya kompromi (contona, kusabab panyangga mudal atanapi salah konfigurasi) ngirangan atanapi ngaleungitkeun. Mékanisme pangwatesan ieu tiasa dianggo sacara mandiri tina mékanisme kontrol aksés Linux tradisional. Éta henteu gaduh konsép superuser "root", sareng henteu ngabagi kakurangan anu terkenal tina mékanisme kaamanan Linux tradisional (contona, gumantung kana binari setuid/setgid).
    Kaamanan sistem Linux anu henteu dirobih gumantung kana kabeneran kernel, sadaya aplikasi anu diistimewakeun, sareng unggal konfigurasina. Hiji masalah di salah sahiji wewengkon ieu bisa kompromi sakabéh sistem. Sabalikna, kaamanan sistem anu dirobih dumasar kana kernel Linux anu ditingkatkeun kaamanan gumantung utamina kana kabeneran kernel sareng konfigurasi kawijakan kaamananna. Bari masalah sareng correctness aplikasi atawa konfigurasi bisa ngidinan kompromi kawates program pamaké individu jeung daemons sistem, aranjeunna henteu ngakibatkeun resiko kaamanan pikeun program pamaké séjén sarta daemons sistem atawa kaamanan sistem sakabéhna.
  3. Keur naon manéhna alus?
    Fitur Linux anu ditingkatkeun kaamanan anyar dirancang pikeun nyayogikeun inpormasi dumasar kana syarat karusiahan sareng integritas. Éta dirancang pikeun nyegah prosés maca data sareng program, ngarobih data sareng program, ngalangkungan mékanisme kaamanan aplikasi, ngalaksanakeun program anu teu dipercaya, atanapi ngaganggu prosés sanés anu ngalanggar kawijakan kaamanan sistem. Éta ogé ngabantosan ngawates karusakan poténsial anu tiasa disababkeun ku malware atanapi program anu salah. Éta ogé kedah mangpaat pikeun mastikeun yén pangguna anu gaduh idin kaamanan anu béda-béda tiasa nganggo sistem anu sami pikeun ngaksés jinis inpormasi anu béda-béda kalayan syarat kaamanan anu béda-béda tanpa kompromi sarat éta.
  4. Kumaha carana abdi tiasa salinan?
    Seueur distribusi Linux kalebet dukungan pikeun SELinux anu parantos diwangun salaku fitur standar atanapi salaku pakét pilihan. Kodeu userland inti SELinux sayogi di GitHub. Pamaké tungtung umumna kedah nganggo bungkusan anu disayogikeun ku distribusina.
  5. Naon anu kalebet dina sékrési anjeun?
    Pelepasan NSA SELinux kalebet kodeu SELinux userland inti. Rojongan pikeun SELinux parantos kalebet kana kernel Linux 2.6 mainstream, sayogi ti kernel.org. Kode userland inti SELinux diwangun ku perpustakaan pikeun manipulasi kawijakan binér (libsepol), kompiler kawijakan (checkpolicy), perpustakaan pikeun aplikasi kaamanan (libselinux), perpustakaan pikeun parabot manajemén kawijakan (libsemanage), sarta sababaraha utilitas nu patali jeung kawijakan ( policycoreutils).
    Salian kernel anu diaktipkeun SELinux sareng kode userland dasar, anjeun peryogi kawijakan sareng sababaraha bungkusan ruang pangguna anu ditambal SELinux pikeun ngagunakeun SELinux. Kawijakan tiasa didapet tina Proyék kawijakan rujukan SELinux.
  6. Dupi abdi tiasa masang Linux hardened dina sistem Linux Ubuntu aya?
    Leres, anjeun ngan ukur tiasa masang modifikasi SELinux dina sistem Linux anu tos aya, atanapi anjeun tiasa masang distribusi Linux anu parantos kalebet dukungan SELinux. SELinux diwangun ku kernel Linux kalayan dukungan SELinux, sakumpulan inti perpustakaan sareng utilitas, sababaraha bungkusan pangguna anu dirobih, sareng konfigurasi kawijakan. Pikeun masang éta dina sistem Linux anu tos aya anu henteu ngadukung SELinux, anjeun kedah tiasa nyusun parangkat lunak sareng ogé ngagaduhan pakét sistem anu sanés. Upami distribusi Linux anjeun parantos kalebet dukungan pikeun SELinux, anjeun henteu kedah ngawangun atanapi masang sékrési NSA SELinux.
  7. Kumaha cocogna Linux anu ditingkatkeun kaamanan sareng Linux anu henteu dirobih?
    Linux anu ditingkatkeun kaamanan nyayogikeun kasaluyuan binér sareng aplikasi Linux anu tos aya sareng modul kernel Linux anu tos aya, tapi sababaraha modul kernel tiasa ngabutuhkeun modifikasi pikeun berinteraksi leres sareng SELinux. Dua kategori kasaluyuan ieu dibahas sacara rinci di handap:

    • Kasaluyuan Aplikasi
      SELinux nyayogikeun kasaluyuan binér sareng aplikasi anu tos aya. Kami geus ngalegaan struktur data kernel pikeun ngawengku atribut kaamanan anyar jeung nambahkeun panggero API anyar pikeun aplikasi kaamanan. Nanging, kami henteu ngarobih struktur data anu katingali ku aplikasi, atanapi henteu ngarobih antarmuka tina telepon sistem anu tos aya, ku kituna aplikasi anu tos aya masih tiasa dijalankeun salami kawijakan kaamanan ngamungkinkeun aranjeunna.
    • kasaluyuan modul kernel
      Mimitina, SELinux ngan ukur nyayogikeun kasaluyuan awal pikeun modul kernel anu aya; Ieu diperlukeun pikeun recompile modul misalna kalawan headers kernel dirobah pikeun nyokot widang kaamanan anyar ditambahkeun kana struktur data kernel. Kusabab LSM sareng SELinux ayeuna diintegrasikeun kana kernel Linux mainstream 2.6, SELinux ayeuna nyayogikeun kompatibilitas binér sareng modul kernel anu tos aya. Sanajan kitu, sababaraha modul kernel bisa jadi teu berinteraksi ogé kalawan SELinux tanpa modifikasi. Contona, upami modul kernel langsung allocates tur nyetel hiji objek kernel tanpa ngagunakeun fungsi initialization normal, teras objek kernel bisa jadi teu boga informasi kaamanan ditangtoskeun. Sababaraha modul kernel ogé tiasa kakurangan kadali kaamanan anu leres dina operasina; sauran naon waé anu aya kana fungsi kernel atanapi fungsi idin ogé bakal memicu cék idin SELinux, tapi kontrol anu langkung rinci atanapi tambahan tiasa diperyogikeun pikeun ngalaksanakeun kawijakan MAC.
      Linux anu ditingkatkeun kaamanan henteu kedah nyiptakeun masalah interoperabilitas sareng sistem Linux biasa upami sadaya operasi anu diperyogikeun diidinan ku konfigurasi kawijakan kaamanan.
  8. Naon tujuan conto konfigurasi kawijakan kaamanan?
    Dina tingkat anu luhur, tujuanana nyaéta pikeun nunjukkeun kalenturan sareng kaamanan kontrol aksés anu dikuatkeun sareng nyayogikeun sistem kerja anu sederhana kalayan parobihan aplikasi minimal. Dina tingkat handap, kawijakan boga sakumpulan tujuan, dijelaskeun dina dokuméntasi kawijakan. Tujuan ieu kalebet ngadalikeun aksés atah kana data, ngajagi integritas kernel, parangkat lunak sistem, inpormasi konfigurasi sistem sareng log sistem, ngabatesan poténsi karusakan anu tiasa disababkeun ku ngamangpaatkeun kerentanan dina prosés anu meryogikeun hak istimewa, ngajagi prosés hak istimewa tina palaksanaan. kode jahat, nangtayungan peran admin jeung domain ti asup tanpa auténtikasi pamaké, nyegah prosés pamaké normal tina interfering sistem atawa prosés admin, sarta ngajaga pamaké sarta pangurus ti exploiting kerentanan dina browser maranéhanana ku kode mobile jahat.
  9. Naha Linux dipilih salaku platform dasar?
    Linux dipilih salaku platform pikeun palaksanaan rujukan awal karya ieu alatan kasuksésan tumuwuh sarta lingkungan ngembangkeun kabuka. Linux Ubuntu nyadiakeun kasempetan alus teuing pikeun nunjukkeun yén fungsionalitas ieu tiasa suksés dina sistem operasi host sareng, dina waktos anu sami, nyumbang kana kaamanan sistem anu seueur dianggo. Platform Linux oge nyadiakeun kasempetan alus teuing pikeun karya ieu pikeun meunangkeun pintonan widest mungkin jeung sugan jadi dadasar pikeun panalungtikan kaamanan tambahan ku peminat séjén.
  10. Naha anjeun ngalakukeun pagawean ieu?
    Laboratorium Panalungtikan Kaamanan Émbaran Nasional Badan Kaamanan Nasional tanggung jawab pikeun panalungtikan sareng pamekaran téknologi canggih pikeun ngamungkinkeun NSA nyayogikeun solusi kaamanan inpormasi, produk, sareng jasa pikeun infrastruktur inpormasi anu penting pikeun kapentingan kaamanan nasional AS.
    Nyieun sistem operasi aman giat tetep tantangan panalungtikan utama. Tujuan kami nyaéta pikeun nyiptakeun arsitéktur anu éfisién anu nyayogikeun dukungan anu dipikabutuh pikeun kaamanan, ngajalankeun program sacara transparan pikeun pangguna, sareng pikaresepeun pikeun anu ngical paralatan. Kami yakin yén léngkah penting pikeun ngahontal tujuan ieu nyaéta nunjukkeun kumaha mékanisme kontrol aksés paksa tiasa suksés diintegrasikeun kana sistem operasi utama.
  11. Kumaha ieu hubunganana sareng panalungtikan OS NSA saméméhna?
    Panaliti di Laboratorium Panaliti Jaminan Nasional NSA parantos gawé bareng sareng Secure Computing Corporation (SCC) pikeun ngembangkeun arsitektur penegak anu kuat sareng fleksibel dumasar kana Type Enforcement, mékanisme anu dipelopori ku sistem LOCK. NSA sareng SCC ngembangkeun dua arsitéktur prototipe dumasar kana Mach: DTMach sareng DTOS (http://www.cs.utah.edu/flux/dtos/). NSA sareng SCC teras damel sareng Grup Panaliti Flux di Universitas Utah pikeun port arsitéktur kana Sistem Operasi Panaliti Fluke. Salila migrasi ieu, arsitéktur geus disampurnakeun pikeun nyadiakeun rojongan hadé pikeun kawijakan kaamanan dinamis. Arsitéktur anu ditingkatkeun ieu dingaranan Flask (http://www.cs.utah.edu/flux/flask/). Ayeuna NSA parantos ngahijikeun arsitéktur Flask kana sistem operasi Linux pikeun nyangking téknologi ka pamekar sareng komunitas pangguna anu langkung lega.
  12. Naha Linux sareng kaamanan ditingkatkeun mangrupikeun sistem operasi anu tiasa dipercaya?
    Frase "Sistem Operasi Dipercanten" umumna nujul kana sistem operasi anu nyayogikeun dukungan anu cekap pikeun kaamanan berlapis sareng validasi pikeun nyumponan sakumpulan syarat pamaréntahan anu khusus. Linux anu ditingkatkeun kaamanan ngalebetkeun wawasan anu mangpaat tina sistem ieu, tapi museurkeun kana kontrol aksés anu dikuatkeun. Tujuan asli pikeun ngembangkeun Linux anu ditingkatkeun kaamanan nyaéta nyiptakeun fungsionalitas anu mangpaat anu nyayogikeun kauntungan kaamanan anu nyata dina rupa-rupa lingkungan dunya nyata pikeun nunjukkeun téknologi ieu. SELinux sanés mangrupikeun sistem operasi anu dipercaya, tapi éta nyayogikeun fitur kaamanan kritis-kontrol aksés anu dikuatkeun-diperlukeun pikeun sistem operasi anu dipercaya. SELinux parantos diintegrasikeun kana distribusi Linux anu parantos dipeunteun dumasar kana Profil Perlindungan Kaamanan Dilabélan. Inpormasi ngeunaan produk anu diuji sareng diuji tiasa dipendakan di http://niap-ccevs.org/.
  13. Naha anjeunna leres-leres ditangtayungan?
    Konsep sistem aman ngawengku loba atribut (contona, kaamanan fisik, kaamanan tanaga, jeung sajabana), sarta Linux Ubuntu jeung alamat kaamanan canggih ngan hiji set pisan sempit tina atribut ieu (nyaéta, kontrol penegak sistem operasi urang). Dina basa sejen, "sistem aman" hartina cukup aman pikeun nangtayungan sababaraha informasi di dunya nyata tina musuh nyata ngalawan nu boga jeung/atawa pamaké informasi ieu warned. Linux anu ditingkatkeun kaamanan ngan ukur dimaksudkeun pikeun nunjukkeun kadali anu dibutuhkeun dina sistem operasi modern sapertos Linux, sareng teras-terasanna nyalira henteu cocog sareng definisi anu pikaresepeun ngeunaan sistem anu aman. Kami yakin yén téknologi anu ditingalikeun dina Linux anu ditingkatkeun kaamanan bakal mangpaat pikeun jalma anu ngawangun sistem anu aman.
  14. Naon anu anjeun lakukeun pikeun ningkatkeun garansi?
    Tujuan tina proyék ieu nyaéta pikeun nambihan kadali aksés paksa kalayan parobihan minimal kana Linux. Tujuan terakhir ieu ngabatesan pisan naon anu tiasa dilakukeun pikeun ningkatkeun jaminan, janten teu aya padamelan pikeun ningkatkeun jaminan Linux. Di sisi anu sanés, paningkatan ngawangun kana padamelan sateuacana dina desain arsitéktur kaamanan-kaamanan tinggi, sareng kalolobaan prinsip desain ieu parantos dialihkeun kana Linux anu ditingkatkeun kaamanan.
  15. Naha CCEVS bakal ngaevaluasi Linux kalayan kaamanan anu ditingkatkeun?
    Ku sorangan, Linux Ubuntu kalawan kaamanan ditingkatkeun teu dirancang pikeun alamat set lengkep masalah kaamanan digambarkeun ku profil kaamanan. Sanaos tiasa dievaluasi ngan ukur pungsionalitasna ayeuna, kami yakin yén evaluasi sapertos kitu bakal aya nilai kawates. Nanging, kami parantos damel sareng batur pikeun ngalebetkeun téknologi ieu dina distribusi Linux anu parantos dievaluasi sareng distribusi anu aya dina evaluasi. Inpormasi ngeunaan produk anu diuji sareng diuji tiasa dipendakan di http://niap-ccevs.org/.
  16. Dupi anjeun nyobian ngalereskeun sagala kerentanan?
    Henteu, kami henteu milarian atanapi mendakan kerentanan dina waktos padamelan urang. Kami ngan ukur nyumbangkeun sakedik sakedik pikeun nambihan gear anyar kami.
  17. Dupi sistem ieu disatujuan pikeun pamakéan pamaréntah?
    Linux anu ditingkatkeun kaamanan henteu ngagaduhan persetujuan khusus atanapi tambahan pikeun panggunaan pamaréntah pikeun vérsi Linux anu sanés.
  18. Kumaha ieu béda ti inisiatif séjén?
    Kaamanan-ditingkatkeun Linux Ubuntu boga arsitéktur well-didefinisikeun pikeun fléksibel enforced kontrol aksés nu geus diuji sacara ékspériméntal kalawan sababaraha sistem prototipe (DTMach, DTOS, Flask). Studi lengkep parantos dilakukeun ngeunaan kamampuan arsitéktur pikeun ngadukung sajumlah kawijakan kaamanan sareng sayogi di http://www.cs.utah.edu/flux/dtos/ и http://www.cs.utah.edu/flux/flask/.
    Arsitékturna nyayogikeun kontrol anu saé pikeun seueur abstraksi kernel sareng jasa anu henteu dikawasa ku sistem anu sanés. Sababaraha ciri anu ngabédakeun sistem Linux kalayan kaamanan anu diperpanjang nyaéta:

    • Separation murni kawijakan ti hak penegak
    • Interfaces kawijakan diartikeun ogé
    • Kamerdékaan tina kawijakan husus jeung basa kawijakan
    • Kamerdikaan tina format husus sarta eusi labél kaamanan
    • Labél sareng Kontrol Pisahkeun pikeun Objék sareng Jasa Kernel
    • Kaputusan Aksés Caching pikeun Efisiensi
    • Rojongan pikeun parobahan kawijakan
    • Kontrol kana initialization prosés sareng warisan sareng palaksanaan program
    • Atur sistem file, diréktori, file, sareng déskripsi file kabuka
    • Ngatur sockets, talatah jeung interfaces jaringan
    • Kontrol kana panggunaan "Kasempetan"
  19. Naon watesan lisénsi pikeun sistem ieu?
    Kabéh kode sumber kapanggih dina loka https://www.nsa.gov, disebarkeun dina istilah anu sami sareng kode sumber asli. Salaku conto, perbaikan pikeun kernel Linux sareng perbaikan pikeun seueur utilitas anu aya di dieu dileupaskeun dina kaayaan éta Lisénsi Umum Umum GNU (GPL).
  20. Aya kadali ékspor?
    Henteu aya kadali ékspor tambahan pikeun Linux kalayan kaamanan anu diperpanjang dibandingkeun sareng versi Linux anu sanés.
  21. Naha NSA ngarencanakeun pikeun ngagunakeun éta sacara domestik?
    Pikeun alesan anu jelas, NSA henteu masihan koméntar ngeunaan panggunaan operasional.
  22. Naha Pernyataan Jaminan 26 Juli 2002 ti Secure Computing Corporation ngarobih posisi NSA yén SELinux disayogikeun dina GNU General Public License?
    Posisi NSA teu robah. NSA masih percaya yén sarat jeung kaayaan Lisensi Umum GNU ngatur pamakéan, nyalin, distribusi, jeung modifikasi SELinux. Cm. siaran pers NSA 2 Januari 2001.
  23. Naha NSA ngadukung parangkat lunak open source?
    Inisiatif kaamanan parangkat lunak NSA ngalangkungan parangkat lunak proprietary sareng open source, sareng kami parantos suksés ngagunakeun modél proprietary sareng open source dina kagiatan panalungtikan urang. Karya NSA pikeun ningkatkeun kaamanan parangkat lunak didorong ku hiji pertimbangan anu sederhana: pikeun ngamangpaatkeun sumber daya urang pikeun nyayogikeun pilihan kaamanan pangsaéna pikeun konsumén NSA dina produk anu paling seueur dianggo. Tujuan tina program panalungtikan NSA nyaéta pikeun ngembangkeun kamajuan téknologi anu tiasa dibagikeun sareng komunitas pamekaran parangkat lunak ngalangkungan rupa-rupa mékanisme transfer. NSA henteu ngadukung atanapi ngamajukeun produk parangkat lunak atanapi modél bisnis anu khusus. Sabalikna, NSA ngamajukeun kaamanan.
  24. Naha NSA ngadukung Linux?
    Sakumaha anu kacatet di luhur, NSA henteu ngadukung atanapi ngamajukeun produk atanapi platform parangkat lunak khusus; NSA ukur nyumbang kana ngaronjat kaamanan. Arsitéktur Flask nunjukkeun dina palaksanaan rujukan SELinux geus porting ka sababaraha sistem operasi lianna kaasup Solaris, FreeBSD, sarta Darwin, porting kana hypervisor Xen, sarta dilarapkeun ka aplikasi kayaning X Window System, GConf, D-BUS, sarta PostgreSQL. . Konsep arsitéktur flask sacara lega lumaku pikeun rupa-rupa sistem sareng lingkungan.

Kolaborasi

  1. Kumaha urang ngarencanakeun pikeun berinteraksi sareng komunitas Linux?
    Kami gaduh susunan kaca web di NSA.gov, anu bakal janten jalan utama kami pikeun nyebarkeun inpormasi Linux anu ditingkatkeun kaamanan. Upami anjeun kabetot dina Linux kalayan kaamanan anu ditingkatkeun, kami nyarankeun anjeun gabung ka milis pamekar, ningali kode sumber, sareng masihan tanggapan anjeun (atanapi kode). Pikeun gabung ka milis pamekar, tingali Kaca milis pamekar SELinux.
  2. Saha anu tiasa ngabantosan?
    SELinux ayeuna dijaga sareng ditingkatkeun ku komunitas parangkat lunak open source Linux.
  3. Naha NSA ngabiayaan sagala tindak lanjut?
    NSA ayeuna henteu nganggap usulan pikeun padamelan salajengna.
  4. Naon jinis dukungan anu sayogi?
    Kami niat pikeun ngabéréskeun masalah ngaliwatan milis [email dijaga], tapi urang moal bisa ngajawab sakabéh patarosan patali situs husus.
  5. Saha nu nulungan? Naon anu aranjeunna lakukeun?
    Prototipe Linux anu ditingkatkeun kaamanan dikembangkeun ku NSA sareng mitra riset ti NAI Labs, Secure Computing Corporation (SCC), sareng MITER Corporation. Langkung seueur bahan anu dituturkeun saatos pelepasan umum awal. Tempo daptar pamilon.
  6. Kumaha carana abdi tiasa manggihan leuwih?
    Kami ajak anjeun nganjang ka halaman wéb kami, maca dokuméntasi sareng makalah panalungtikan katukang, sareng ilubiung dina milis kami. [email dijaga]

Naha anjeun mendakan tarjamahan anu mangpaat? Tulis komentar!

sumber: www.habr.com

Tambahkeun komentar