На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 3 май–июнь 2010 г.
Тема номера:
РЕШЕНИЯ В ОБЛАСТИ ИБ НА БАЗЕ LINUX

Настройка и использование SELinux

В. Занько


Предыдущая статьяСледующая статья

Знакомство с SELinux

Классическая (или дискреционная) модель доступа позволяет манипулировать правами на чтение, запись, поиск/исполнение на уровне пользователей, групп и «остальных», что бывает недостаточно в некоторых случаях. Яркий пример: запуск из-под пользователя некоего сетевого «демона», который может быть скомпрометирован. В этом случае злоумышленник способен получить полные права пользователя, который запустил «демона». Posix ACL (Access Control List) позволяет манипулировать дополнительными условиями доступа, но и этого недостаточно для полной защиты системы.

SELinux даст возможность дополнительно ограничить сетевого «демона», позволяя ему полноценно работать, но запрещая подозрительные действия, такие как установление несанкционированного сетевого соединения, чтение или запись файла, который не должен читаться демоном и т. д.

Важно помнить, что SELinux срабатывает только после классической схемы доступа: если имеется некоторый файл, владелец/группа root: root и права 0600, то вне зависимости от того, какие SELinux-метки установлены, простой пользователь не сможет прочитать этот файл. В SELinux права доступа определяются наборами правил, или политиками. Последние работают на уровне системных вызовов и обрабатываются ядром, однако можно реализовать их и на уровне приложения. Политики описываются при помощи специального языка описания правил доступа.

В настоящий момент уже разработано несколько готовых политик безопасности, которые можно использовать по умолчанию на серверах и даже домашних компьютерах. Все, что требуется от системного администратора, — выбрать используемую политику и перезагрузить компьютер с включенным SELinux. В среднем, политика безопасности SELinux для всей системы содержит более ста тысяч правил, так что ее создание и отладка занимают значительное время.

Наиболее распространены следующие политики:

  • целевая (targered) — разработана компанией Red Hat и является наиболее используемой;
  • многоуровневая (MLS) — позволяет обеспечивать уровни безопасности и может использоваться госструктурами для хранения информации различных уровней секретности;
  • строгая (strict) — этот вариант политики подразумевает действие правила «Что не разрешено, то запрещено».

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2021 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100