SELinux进阶篇 应用目标策略管理非限制进程和用户
为执行DAC机制,而wget命令可以访问该文件,成功执行.
(10)测试结束后,需要使用如下命令来恢复该httpd进程本来的运行限制:
然而,采用如下命令来进行查看,发现httpd进程又从非限制状态恢复为限制状态:
(11)使用如下命令重新启动httpd,以时修改在httpd进程运行时生效,并通过ps -ez命令来查看进程的运行状态,如图5所示:
图5 恢复httpd进程的运行限制 到此为止,上述例子详细的演示了SELinux是如何通过限制进程的运行来保证Linux系统安全的,也看到了如果将进程改为unconfined运行状态的安全隐患,因此提醒广大用户在实际应用过程中切忌不要随便将进程默认的限制运行状态改为非限制状态,以免给Linux系统带来不必要的麻烦和安全隐患. 二、管理限制和非限制用户 在前面的介绍中曾经提到过,每个传统的Linux用户在SELinux中都被映射为一个SELinux用户.这Linux用户能够继承在SELinux用户上的访问控制.用户可以使用semanage login -l命令来查看两类用户之间的具体映射情况,如图6所示: 图6 使用semanage命令查看用户映射
举个例子,在Fedora 10中,Linux用户默认被映射到SELinux的_default_login中,从而映射为unconfined_u用户类型. 下面通过一个更加具体的在SELinux中添加新用户的例子,来说明SELinux是怎么来映射Linux用户的.该例子的具体操作步骤如下,如图7所示: 图7 在SELinux中添加新用户 (1)以root用户身份,运行useradd命令,添加一个新用户liyang:
(2)以root用户身份,运行passwd命令,修改该用户的密码:
(3)退出当前的root运行身份,以liyang的身份重新登录Linux.重新登录后,SELinux将为用户liyang生成SELinux上下文,查看该用户的上下文:
可以清楚地看到,当Linux添加一个新用户时,SELinux将默认地映射该用户为unconfined_u类型,角色为unconfined_r,以及unconfined_t级别. 限制和非限制用户都需要接受可执行和可写的内存检查,并且受MCS和MLS机制的约束.如果一个非限制的用户执行了一个从unconfined_t域向一个允许的域转变的应用程序,非限制用户仍要接受那个转表到的域的限制.这个就保证了即使一个用户是非限制的,这个应用也是受限的,因此,软件的漏洞所引起的风险就能得到限制
本文出自 “卓越始于足下” 博客,谢绝转载! |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |