利用RHEL5來為SELinux做辯護(hù)

安全增強(qiáng)Linux(Security Enhanced Linux)，也就是SELINUX的推出被稱為是IT管理者們確保Linux系統(tǒng)安全和平穩(wěn)運(yùn)行的一種可自由支配的強(qiáng)大工具。SELINUX是由美國國家安全局(NAS)開發(fā)的強(qiáng)制訪問控制的實(shí)現(xiàn)，目前，SELINUX已經(jīng)被整合到大部分主流Linux版本之中。

“SELINUX可以阻止偷竊行為，可以阻止垃圾信息傳播并防止“蠕蟲”攻擊網(wǎng)站。”Red Hat公司的首席軟件工程師Dan Walsh說，他同時(shí)也是SELINUX工程的一名正式參與者。據(jù)Walsh所說，IT管理者們應(yīng)該讓SELINUX在數(shù)據(jù)中心的方方面面隨時(shí)都處于打開狀態(tài)。

問題是，如今許多用戶都讓SELINUX處于關(guān)閉狀態(tài)(SELINUX已經(jīng)內(nèi)置到Red Hat 企業(yè)版Linux系統(tǒng)當(dāng)中)。

SELINUX開放源碼安全技術(shù)在其確保高度安全方面被廣泛認(rèn)可的同時(shí)，同時(shí)也被認(rèn)為過于復(fù)雜。RHEL 5(Red Hat 企業(yè)版Linux 5系統(tǒng))包含了大量的新工具和管理特征以解決這一問題，但這是否已經(jīng)太晚了呢?

SELINUX: 事實(shí)與認(rèn)知

“SELINUX最大的問題在于人們對(duì)它的認(rèn)知，”位于加利福尼亞的Saugus聯(lián)盟學(xué)區(qū)的信息服務(wù)與技術(shù)主管Jim Klein說，“它因?yàn)樵缙谌鄙倥渲霉ぞ吆凸收吓懦ぞ叨鴲好谙龋@正是人們選擇關(guān)閉它的原因。”

Klein說，對(duì)于SELINUX倡導(dǎo)者來說不幸的是，當(dāng)管理者為系統(tǒng)檢查故障時(shí)，第一個(gè)問題往往是“SELINUX是打開的嗎?”他還說，在他的數(shù)據(jù)中心SELINUX是關(guān)閉的，而且除非地區(qū)轉(zhuǎn)向使用RHEL5的計(jì)劃完成，他是不打算讓它恢復(fù)活動(dòng)狀態(tài)的。

盡管如此，Red Hat公司的Walsh還是說SELINUX的“復(fù)雜性問題”會(huì)逐漸得到解決。在San Diego舉行的Red Hat年度峰會(huì)中，Walsh表示他最近分解了SELINUX，目前應(yīng)用安全技術(shù)在Red Hat企業(yè)版Linux5系統(tǒng)中是默認(rèn)打開的。RHEL4中也是包含SELINUX的，但只有RHEL5出現(xiàn)以后，Walsh和其他SELINUX專家才可以放心宣稱“讓SELINUX處處打開”。

“RHEL4像是該項(xiàng)技術(shù)的范例，”Walsh說，“我們將其劃分為一定數(shù)量的域，或者說是15個(gè)可由應(yīng)用程序訪問的目標(biāo)程序組。”

然而，在RHEL5之中目標(biāo)程序組達(dá)到了200個(gè)。Walsh又一次重申，“RHEL5的目標(biāo)是讓SELINUX無處不開。”

SELINUX: 復(fù)雜,但故障排解器可以提供幫助

身為作家和SELINUX專家的Frank Meyer對(duì)SELINUX的了解程度可以超越大多數(shù)人。

他說：“我并不想譴責(zé)專門提出‘復(fù)雜性’問題的人。但這種感知的產(chǎn)生是因?yàn)镾ELINUX具有保護(hù)Linux內(nèi)核提供的任何事務(wù)的能力，而Linux內(nèi)核本身就很復(fù)雜。”

依Meyer看來，當(dāng)用戶聲稱SELINUX因?yàn)樘^復(fù)雜而不能有效配置時(shí)，就相當(dāng)于在聲稱他們不能應(yīng)用Linux內(nèi)核是因?yàn)樗麄儾恢涝撊绾螌懸粋�(gè)設(shè)備驅(qū)動(dòng)程序。“從邏輯上來說，這是沒有意義的。”他說。

為了回應(yīng)這種感知，Red Hat已經(jīng)在RHEL5中引入了SELINUX故障排解器(Troubleshooter)，故障排解器(Troubleshooter)也被稱為故障排解集合(settroubleshoot)，是一個(gè)為存取向量高速緩存(AVC)消息監(jiān)視稽核記錄文件的工具。

根據(jù)Fedora項(xiàng)目網(wǎng)站所言，用戶、系統(tǒng)管理員和開發(fā)者經(jīng)常遇到AVC拒絕的沖突。Fedora項(xiàng)目網(wǎng)站是開展大部分SELINUX與Red HatLinux構(gòu)架測(cè)試的地方。當(dāng)SELINUX經(jīng)過充分調(diào)試和合理配置之后，AVC拒絕只會(huì)由實(shí)際的安全性入侵觸發(fā)。然而，由于SELINUX仍然是新技術(shù)，策略尚處于開發(fā)狀態(tài)，因此大部分的AVC拒絕并不是由實(shí)際的安全性入侵引起的。此外，用戶尚處于學(xué)習(xí)配置SELINUX的過程中，也是AVC拒絕發(fā)生的一個(gè)原因。

目前，當(dāng)AVC拒絕發(fā)生時(shí)，故障排解器就會(huì)運(yùn)行SELINUX插件數(shù)據(jù)庫來尋找匹配，并向用戶發(fā)送一條包含問題描述和建議方案的消息。像Meyer 和Walsh這樣的行業(yè)觀察者認(rèn)為，這一工具對(duì)于幫助用戶區(qū)分真正問題和虛假警報(bào)大有幫助，而區(qū)分真正問題和虛假警報(bào)正是阻礙SELINUX在IT管理者中應(yīng)用的主要原因。

Klein說，故障排解器是一項(xiàng)受歡迎的附加工具，但對(duì)幫助解決SELINUX的認(rèn)知問題來說可能出現(xiàn)得太晚了。他說，故障排解器及其同類是“管理者們認(rèn)真考慮是否重新啟用SELINUX的出發(fā)點(diǎn)，”但是，“困難在于說服那些已經(jīng)把SELINUX看作‘所有問題根源’的人員不要在問題出現(xiàn)時(shí)就簡(jiǎn)單地把它關(guān)閉。”

Klein說，至今為止，Saugus已經(jīng)將大部分服務(wù)器上的SELINUX關(guān)閉。在等待SELINUX工具和策略的成熟化的過程中，以傳統(tǒng)設(shè)置作為保證應(yīng)用程序安全的默認(rèn)設(shè)置。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]