“SELinux可以阻止偷竊行為,可以阻止垃圾信息傳播並防止“蠕蟲”攻擊網站。”Red Hat公司的首席軟件工程師Dan Walsh說,他同時也是SELinux工程的一名正式參與者。據Walsh所說,IT管理者們應該讓SELinux在數據中心的方方面面隨時都處於打開狀態。
問題是,如今許多用戶都讓SELinux處於關閉狀態(SELinux已經內置到Red Hat 企業版Linux系統當中)。
SELinux開放源碼安全技術在其確保高度安全方面被廣泛認可的同時,同時也被認為過於復雜。RHEL 5(Red Hat 企業版Linux 5系統)包含了大量的新工具和管理特征以解決這一問題,但這是否已經太晚了呢?
SELinux: 事實與認知
“SELinux最大的問題在於人們對它的認知,”位於加利福尼亞的Saugus聯盟學區的信息服務與技術主管Jim Klein說,“它因為早期缺少配置工具和故障排除工具而惡名在先,這正是人們選擇關閉它的原因。”
Klein說,對於SELinux倡導者來說不幸的是,當管理者為系統檢查故障時,第一個問題往往是“SElinux是打開的嗎?”他還說,在他的數據中心SELinux是關閉的,而且除非地區轉向使用RHEL5的計劃完成,他是不打算讓它恢復活動狀態的。
盡管如此,Red Hat公司的Walsh還是說SELinux的“復雜性問題”會逐漸得到解決。在San Diego舉行的Red Hat年度峰會中,Walsh表示他最近分解了SELinux,目前應用安全技術在Red Hat企業版Linux5系統中是默認打開的。RHEL4中也是包含SELinux的,但只有RHEL5出現以後,Walsh和其他SELinux專家才可以放心宣稱“讓SELinux處處打開”。
“RHEL4像是該項技術的范例,”Walsh說,“我們將其劃分為一定數量的域,或者說是15個可由應用程序訪問的目標程序組。”
然而,在RHEL5之中目標程序組達到了200個。Walsh又一次重申,“RHEL5的目標是讓SELinux無處不開。”
SELinux: 復雜,但故障排解器可以提供幫助
身為作家和SELinux專家的Frank Meyer對SELinux的了解程度可以超越大多數人。
他說:“我並不想譴責專門提出‘復雜性’問題的人。但這種感知的產生是因為SELinux具有保護Linux內核提供的任何事務的能力,而Linux內核本身就很復雜。”
依Meyer看來,當用戶聲稱SELinux因為太過復雜而不能有效配置時,就相當於在聲稱他們不能應用Linux內核是因為他們不知道該如何寫一個設備驅動程序。“從邏輯上來說,這是沒有意義的。”他說。
為了回應這種感知,Red Hat已經在RHEL5中引入了SELinux故障排解器(Troubleshooter),故障排解器(Troubleshooter)也被稱為故障排解集合(settroubleshoot),是一個為存取向量高速緩存(AVC)消息監視稽核記錄文件的工具。
根據Fedora項目網站所言,用戶、系統管理員和開發者經常遇到AVC拒絕的沖突。Fedora項目網站是開展大部分SELinux與Red HatLinux構架測試的地方。當SELinux經過充分調試和合理配置之後,AVC拒絕只會由實際的安全性入侵觸發。然而,由於SELinux仍然是新技術,策略尚處於開發狀態,因此大部分的AVC拒絕並不是由實際的安全性入侵引起的。此外,用戶尚處於學習配置SELinux的過程中,也是AVC拒絕發生的一個原因。
目前,當AVC拒絕發生時,故障排解器就會運行SELinux插件數據庫來尋找匹配,並向用戶發送一條包含問題描述和建議方案的消息。像 Meyer和Walsh這樣的行業觀察者認為,這一工具對於幫助用戶區分真正問題和虛假警報大有幫助,而區分真正問題和虛假警報正是阻礙SELinux在 IT管理者中應用的主要原因。
Klein說,故障排解器是一項受歡迎的附加工具,但對幫助解決SELinux的認知問題來說可能出現得太晚了。他說,故障排解器及其同類是 “管理者們認真考慮是否重新啟用SELinux的出發點,”但是,“困難在於說服那些已經把SELinux看作‘所有問題根源’的人員不要在問題出現時就簡單地把它關閉。”
Klein說,至今為止,Saugus已經將大部分服務器上的SELinux關閉。在等待SELinux工具和策略的成熟化的過程中,以傳統設置作為保證應用程序安全的默認設置。
