|
安全增強Linux(Security Enhanced Linux)�,也就是SELINUX的推出被稱為是IT管理者們確保Linux系統安全和平穩運行的一種可自由支配的強大工具���。SELINUX是由美國國家安全局(NAS)開發的強制訪問控制的實現�����,目前���,SELINUX已經被整合到大部分主流Linux版本之中��。
“SELINUX可以阻止偷竊行為��,可以阻止垃圾信息傳播并防止“蠕蟲”攻擊網站�。”Red Hat公司的首席軟件工程師Dan Walsh說�����,他同時也是SELINUX工程的一名正式參與者�。據Walsh所說�����,IT管理者們應該讓SELINUX在數據中心的方方面面隨時都處于打開狀態�。
問題是����,如今許多用戶都讓SELINUX處于關閉狀態(SELINUX已經內置到Red Hat 企業版Linux系統當中)���。
SELINUX開放源碼安全技術在其確保高度安全方面被廣泛認可的同時�,同時也被認為過于復雜�����。RHEL 5(Red Hat 企業版Linux 5系統)包含了大量的新工具和管理特征以解決這一問題���,但這是否已經太晚了呢?
SELINUX: 事實與認知
“SELINUX最大的問題在于人們對它的認知���,”位于加利福尼亞的Saugus聯盟學區的信息服務與技術主管Jim Klein說�����,“它因為早期缺少配置工具和故障排除工具而惡名在先���,這正是人們選擇關閉它的原因�����。”
Klein說�����,對于SELINUX倡導者來說不幸的是���,當管理者為系統檢查故障時����,第一個問題往往是“SELINUX是打開的嗎?”他還說���,在他的數據中心SELINUX是關閉的�����,而且除非地區轉向使用RHEL5的計劃完成�����,他是不打算讓它恢復活動狀態的���。
盡管如此�����,Red Hat公司的Walsh還是說SELINUX的“復雜性問題”會逐漸得到解決�。在San Diego舉行的Red Hat年度峰會中�����,Walsh表示他最近分解了SELINUX�,目前應用安全技術在Red Hat企業版Linux5系統中是默認打開的����。RHEL4中也是包含SELINUX的���,但只有RHEL5出現以后���,Walsh和其他SELINUX專家才可以放心宣稱“讓SELINUX處處打開”�。
“RHEL4像是該項技術的范例�,”Walsh說�,“我們將其劃分為一定數量的域�����,或者說是15個可由應用程序訪問的目標程序組�。”
然而���,在RHEL5之中目標程序組達到了200個����。Walsh又一次重申���,“RHEL5的目標是讓SELINUX無處不開�����。”
SELINUX: 復雜,但故障排解器可以提供幫助
身為作家和SELINUX專家的Frank Meyer對SELINUX的了解程度可以超越大多數人�。
他說:“我并不想譴責專門提出‘復雜性’問題的人����。但這種感知的產生是因為SELINUX具有保護Linux內核提供的任何事務的能力����,而Linux內核本身就很復雜�����。”
依Meyer看來���,當用戶聲稱SELINUX因為太過復雜而不能有效配置時�����,就相當于在聲稱他們不能應用Linux內核是因為他們不知道該如何寫一個設備驅動程序����。“從邏輯上來說�,這是沒有意義的�。”他說���。
為了回應這種感知����,Red Hat已經在RHEL5中引入了SELINUX故障排解器(Troubleshooter)���,故障排解器(Troubleshooter)也被稱為故障排解集合(settroubleshoot)��,是一個為存取向量高速緩存(AVC)消息監視稽核記錄文件的工具�����。
根據Fedora項目網站所言����,用戶����、系統管理員和開發者經常遇到AVC拒絕的沖突����。Fedora項目網站是開展大部分SELINUX與Red HatLinux構架測試的地方����。當SELINUX經過充分調試和合理配置之后��,AVC拒絕只會由實際的安全性入侵觸發����。然而��,由于SELINUX仍然是新技術�,策略尚處于開發狀態����,因此大部分的AVC拒絕并不是由實際的安全性入侵引起的�����。此外���,用戶尚處于學習配置SELINUX的過程中���,也是AVC拒絕發生的一個原因���。
目前��,當AVC拒絕發生時�����,故障排解器就會運行SELINUX插件數據庫來尋找匹配����,并向用戶發送一條包含問題描述和建議方案的消息�。像Meyer 和Walsh這樣的行業觀察者認為�����,這一工具對于幫助用戶區分真正問題和虛假警報大有幫助�����,而區分真正問題和虛假警報正是阻礙SELINUX在IT管理者中應用的主要原因��。
Klein說�,故障排解器是一項受歡迎的附加工具�����,但對幫助解決SELINUX的認知問題來說可能出現得太晚了���。他說�����,故障排解器及其同類是“管理者們認真考慮是否重新啟用SELINUX的出發點�,”但是�����,“困難在于說服那些已經把SELINUX看作‘所有問題根源’的人員不要在問題出現時就簡單地把它關閉�。”
Klein說��,至今為止��,Saugus已經將大部分服務器上的SELINUX關閉�����。在等待SELINUX工具和策略的成熟化的過程中�����,以傳統設置作為保證應用程序安全的默認設置�����。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商�����!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
