增強安全性的Linux(SELinux)是美國安全部的一個研發項目,它的目的在於增強開發代碼的Linux內核,以提供更強的保護措施,防止一些關於安全方面的應用程序走彎路,減輕惡意軟件帶來的災難。 普通的Linux 與SELinux相比較 普通的Linux系統的安全性是依賴內核的,這個依賴是通過setuid/setgid產生的。在傳統的安全機制下,暴露了一些應用授權問題、配置問題或進程運行造成整個系統的安全問題。這些問題在現在的操作系統中都存在,這是由於他們的復雜性和與其它程序的互用性造成的。 SELinux只單單依賴於系統的內核和安全配置政策。一旦你正確配置了系統,不正常的應用程序配置或錯誤將只返回錯誤給用戶的程序和它的系統後台程序。其它用戶程序的安全性和他們的後台程序仍然可以正常運行,並保持著它們的安全系統結構。 用簡單一點的話說就是:沒有任何的程序配置錯誤可以造成整個系統的崩潰。 安裝SELinux SELinux的內核、工具、程序/工具包,還有文檔都可以到增強安全性的Linux網站上上下載你必須有一個已經存在的Linux系統來編譯你的新內核,這樣才能訪問沒有更改的系統補丁包。 開發者使用紅帽Linux來測試目前的這個版本。這個Linux和目前的Linux應用程序非常兼容,並且它包含了一個考慮到安全問題的系統調用。 另外,你可以編譯這個內核,使它在允許的狀態下運行。這個模式允許審計安全配置政策,並決定安裝用戶應用程序和系統操作所需要的許可。你不需要重新安裝系統,可以隨時通過改變這個操作的模式來增強系統的功能。 為什麼要使用SELinux? 最好的使用SELinux的原因就是,它可以增強訪問控制來限制用戶程序訪問的最低權限。 其它好的改進是: 對內核對象和服務的訪問控制 對進程初始化、繼承和程序執行的訪問控制 對文件系統、目錄、文件和打開文件描述的訪問控制 對端口、信息和網絡接口的訪問控制。 最後的思考 SELinux減少了防止系統崩潰所需要調整的用戶和系統程序。你現在就可以使用補丁包升級Linux,使它符合你的計劃需要。 因為SELinux目前仍然是一個開發項目,NSA並沒有向用戶推薦使用這個系統來保存比較重要的信息。但是,在去年,我曾經運行過SELinux,並沒有遇到過任何的系統崩潰情況。 是否好用,由你自己測試、自己決定。它是免費的,而且非常好用!
