国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 系統(tǒng)安全 >

導(dǎo)致SELinux警告的四個(gè)常見(jiàn)啟事

時(shí)間:2013-05-11 09:33來(lái)源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
本文首要介紹下四個(gè)導(dǎo)致 SELinux 警告產(chǎn)生的啟事和解決方案。 啟事一:呈現(xiàn)標(biāo)注弊端 SELinux 的核心概念就是標(biāo)注,不管是文件系統(tǒng)、目次、文件、文件啟動(dòng)描述符、端口、動(dòng)靜接口仍是收集接
Tags系統(tǒng)安全(735)SELinux(4)布爾值(1)描述符(1)  

  本文首要介紹下四個(gè)導(dǎo)致 SELinux 警告產(chǎn)生的啟事和解決方案。

  啟事一:呈現(xiàn)標(biāo)注弊端

  SELinux 的核心概念就是標(biāo)注,不管是文件系統(tǒng)、目次、文件、文件啟動(dòng)描述符、端口、動(dòng)靜接口仍是收集接口,所有的一切都需要標(biāo)簽,并且僅且僅能遵循標(biāo)簽所付與的權(quán)限履行。即便運(yùn)行的 Apache 過(guò)程被黑客進(jìn)侵且獲得了 uid=0 root 權(quán)限,它仍然沒(méi)法拜候某個(gè)用戶主目次下的文件。因?yàn)闃?biāo)注為httpdt 的 Apache 過(guò)程所持有的沒(méi)法拜候標(biāo)注為 userhome_t 的內(nèi)容。

  是以,假定標(biāo)注有標(biāo)題問(wèn)題標(biāo)話,SELinux 就會(huì)彈出警告。若何措置此類,可以參看本站前文中關(guān)于semanage fcontext 和 restorecon 號(hào)令的利用。當(dāng)然也能夠遵循圖形化的 SELinux 除錯(cuò)東西中的提示解決。

  啟事二:自定義了法度運(yùn)行設(shè)置

  顛末量年的成長(zhǎng),SELinux 已堆集了大年夜量的策略文件時(shí),對(duì)盡大年夜大都利用法度的默許運(yùn)行要求都有記實(shí),可以付與合適的最小權(quán)限予以履行。不外若是您自定義了一些運(yùn)行建設(shè)或有特別的利用需求,則需要調(diào)劑部門 SELinux 設(shè)置。

  對(duì)大年夜大都常見(jiàn)的自定義需求,SELinux 采納布爾值的編制進(jìn)行節(jié)制,可以參看本站前文中關(guān)于 setsebool 號(hào)令的利用。若想體味全數(shù)可調(diào)劑的 SELinux 布爾值,利用 semanage boolean ——l 號(hào)令。這可以經(jīng)由過(guò)程圖形化的 SELinux 除錯(cuò)東西解決,也能夠經(jīng)由過(guò)程圖形化的 system-config-selinux 解決。

  啟事三:SELinux 策略或利用法度建設(shè)有標(biāo)題問(wèn)題

  若是您并未出格點(diǎn)竄建設(shè)卻仍然收到 SELinux 警告,啟事可能就在 SELinux 策略或利用法度本身了。此時(shí)建議起首在 SELinux 除錯(cuò)東西的幫忙下提交弊端陳述,然后再根據(jù)環(huán)境進(jìn)行措置。若是已被陳述過(guò),凡是在弊端陳述的評(píng)論中會(huì)具體解決方案。

  此時(shí)若是想忽視 SELinux 警告仍然運(yùn)行利用法度,則有以下幾種編制:

  將 SELinux 設(shè)為承諾模式,僅記實(shí)警告但不禁止運(yùn)行:setenforce 0.

  將某單一標(biāo)注過(guò)程設(shè)置為承諾模式,而非全部系統(tǒng),例如僅想以承諾模式運(yùn)行 Apache: semange permissive -a httpd_t

  參照 SELinux 除錯(cuò)東西的建議成立并加載自定義策略。具體過(guò)程依環(huán)境而異,SELinux 除錯(cuò)東西內(nèi)會(huì)有具體的申明。

  啟事四:法度已被進(jìn)侵

  SELinux 并不是進(jìn)侵檢測(cè)系統(tǒng),所以今朝 SELinux 除錯(cuò)東西沒(méi)法主動(dòng)的甄別出進(jìn)侵詭計(jì),不外當(dāng)您發(fā)現(xiàn)警告內(nèi)容包含有以下特點(diǎn)時(shí),很有可能對(duì)應(yīng)過(guò)程已被黑客攻破了:

  測(cè)驗(yàn)測(cè)驗(yàn)封鎖 SELinux (/etc/selinux) 或設(shè)定某個(gè) SELinux 布爾值。

  測(cè)驗(yàn)測(cè)驗(yàn)載進(jìn)內(nèi)核模塊、寫進(jìn)內(nèi)核目次或指導(dǎo)器鏡像。

  測(cè)驗(yàn)測(cè)驗(yàn)讀取 shadow_t 標(biāo)識(shí)的文件,那邊凡是包含了加密的賬戶信息。

  測(cè)驗(yàn)測(cè)驗(yàn)籠蓋寫進(jìn)日記文件。

  測(cè)驗(yàn)測(cè)驗(yàn)連接不需要的隨機(jī)端口或郵件端口。

  至此四種常見(jiàn)警告啟事介紹終了,??茨麓闻鲋?SELinux 警告時(shí)可以安然有效的措置。趁便說(shuō)下,盡大年夜部門 SELinux 除錯(cuò)東西的本地化標(biāo)題問(wèn)題已解決,利用簡(jiǎn)中的童鞋們將可以在 Fedora 18 看到簡(jiǎn)中的警告內(nèi)容了。

------分隔線----------------------------

推薦內(nèi)容