Selinux是对于强制访问控制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件.对于新手来说会影响我们的操作.一般情况下是不需要的,所以禁用他,如果需要的情况下,我们可以先临时禁用,然后等服务搭建好后,可开启,然后再配置selinux.关于selinux更深奥的东西,这个...
分类:
系统相关 时间:
2015-06-23 15:19:59
阅读次数:
254
2005年,IBM Watson研究中心的Reiner Sailer等人在21st Annual Computer Security Applications Conference (ACSAC 2005)会议上发表文章《Building a MAC-basedsecurity architecture for the Xen open-source hypervisor》,第一次提出了Xen的安全架构sHype/ACM,该框架将强制访问控制(MAC)机制加入到Xen中,实现虚拟机之间的信息隔离,并尽可能降...
分类:
其他好文 时间:
2015-06-16 14:45:26
阅读次数:
297
背景知识:SELinux全称SecurityEnhancedLinux(安全强化Linux),是MAC(MandatoryAccessControl,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统的用途在于增强系统抵御0-Day攻击(利用尚未公开的漏洞实现的攻击..
分类:
其他好文 时间:
2015-06-12 01:11:08
阅读次数:
138
Selinux:SELinux(Security-EnhancedLinux)是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的新安全子系统。虽然是一个安全功能,可是由于功能太多了,什么都要管,所以用起来反而更麻烦,因而可以把它关闭,进而使用其它的安全方式替代。【1】查看Selinu..
分类:
系统相关 时间:
2015-06-03 14:01:55
阅读次数:
302
一、一些概念二、SELinux状态三、相关运用四、相关命令一、一些概念1、Linux安全访问模型DAC(DiscretionaryAccessControl):自主访问控制2、SELinux安全访问机制SELinux是一种基于<域-类型>模型(domain-type)的强制访问控制(MAC:MandatoryAccessControl)安全系统..
分类:
系统相关 时间:
2015-05-22 19:31:27
阅读次数:
192
类型强制策略相比SELinux引入的MAC(强制访问控制)是比较遥远的。然而,在一些情况下,特别是在分类的政府应用的子集中,传统的MLS(多层安全机制)强制访问控制加上TE是非常有价值的。在意识到
这个情形之后,SELinux也包括一些MLS的形式。在SELinux中,MLS的特征是可选的,并且相比两个强制访问控制机制来说是次要的。对于绝大部分安全应用来说,包括许多没有很少有数据分类的应用来说,对...
分类:
系统相关 时间:
2015-05-07 08:48:19
阅读次数:
168
(一)、简介在SELinux中,所有的访问都要被明确的同意。SELinux默认的是没有访问,不管Linux的用户ID和组ID是什么。是的,这就意味着在SELinux中没有默认的超级用户,不像在标准Linux中的root用户。被同意的访问的方式是由主体的类型(也就是域)和客体的类型使用一个allow规则指定的。一个allow规则有四个元素:
1:source type(s),通常是尝试访问的...
分类:
其他好文 时间:
2015-04-25 18:26:47
阅读次数:
200
一、实验目的
1. 熟悉安胜安全操作系统的运行环境
2. 熟悉安胜安全操作系统基本安全机制的工作原理
二、实验内容
1.参考用户手册,熟悉常用的安全管理命令
2.自己设计测试案例,以展现以下安全机制的工作原理:
(1)自主访问控制机制
(2)强制访问控制机制
(3)基于角色访问控制
(4)可信路径机制
(5)审计机制(可选)...
分类:
其他好文 时间:
2015-04-21 16:08:38
阅读次数:
161
1-1、依据GB17859标准,简述第三级和第四级可信计算机信息系统的主要安全功能需求以及它们之间的主要差别。
第三级为安全标记保护级,主要安全功能需求包括:自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性等7项内容。
第四级为结构化保护级,主要安全功能需求包括:自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径等9项内容。
它们之间的主要差别在于:第四级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系...
分类:
其他好文 时间:
2015-03-30 16:23:56
阅读次数:
166
一、ugo模式主动访问控制DAC文件的权限控制ugorwx二、selinux强制访问控制MAC每个文件资源都有一个标记,特定标记的进程,只能访问特定标记的资源,无法访问其他资源,即使资源的权限设置为777(rwx)三、查看和设置文件和进程的安全标记使用-Z的选项可以查看文件和进程的标记,以..
分类:
系统相关 时间:
2015-01-26 15:20:11
阅读次数:
329
