很长一段时间,RedHat部门的很多教程都会建议你关闭SELinux。事实上,启用SELinux会导致许多无法解释的错误。但在实际生产环境中,即使是用户工作站,RedHat还是建议将SELinux设置为enforcing模式,因为它可以在关键时候成为你系统安全的最后一道防线。 程序是不可信的 科技发展日新月异,但我们的系统安全性不容乐观。wooyun.org不时爆出的各种漏洞提醒我们,程序总是有缺陷的。 传统操作系统采用DAC机制,控制用户的访问权限,系统会信任用户执行的所有程序,但用户往往无法判断程序是否存在安全问题。 后来出现了MAC机制,把进程作为访问控制的首要目标,通过规则严格限制程序运行时可以执行的系统调用。 另外,在机密性较高的地方,基于资源的机密性结合MAC推导出MLS多级安全策略。 我们的主角SELinux就是MAC+MLS的实现之一。它最初由NSA基于flask框架开发,目前主要由Tresys和RedHat维护。 用户与隐私 自1987年9月20日起,CANET向世界发送了第一封电子邮件,标志着互联网正式进入中国大陆。截至2015年6月,我国网民规模已达6.68亿。随着互联网的发展,隐私和安全一直是人们非常关注的话题。现在,任何应用/网站都需要注册,各种客户端都提供网络连接功能。不知不觉中,你的通讯录、朋友圈都显示在了网络上。可以很负责任的说,我们每个人在网络面前都没有隐私可言。 保护个人隐私是一项系统工程。它需要可信的硬件/固件、可信的操作系统、可信的应用程序、可信的网络环境和可信的用户。 ◆硬件:X86和Arm系统是事实上的行业标准,但目前还没有可信的第三方机构进行评测。 ◆系统:尽量使用开源的操作系统,OpenSource可以保证系统没有恶意行为。 早在1985年,美国国防部就公布了可信计算机系统的评估标准,将计算机系统分为四类:A(A1)、B(B3B2B1)、C(C2C1)、D(D1)共有7个级别。没有SELinux的Linux与Windows处于同一C2级别。 ◆应用:尽量使用开源软件,闭源软件或多或少都会侵犯用户隐私。 ◆网络:尽量不要访问/注册来源不明的网站,尽量不要使用公共Wifi。事实上,个人无法控制运营商的行为。 ◆用户:用户在隐私保护中扮演着最重要的角色。俗话说“机器死了,人还活着”。用户只有养成良好的习惯,才能保护自己的隐私。不要抱着“我的信息没用”的心态逃避。 SELinux与隐私保护 SELinux为系统提供了额外的保护层,可以在一定程度上防止隐私泄露。这里提到基本概念,SELinux是一个基于标签的强制访问控制系统。所有系统资源都包含一个标签上下文。只有当进程标号与访问对象的标号(file/socket/dbus...)匹配时,才能允许进程访问资源。标签关联了一系列的角色(role),角色关联了一系列的SELinux用户。通过将SELinux用户与Linux用户相关联,该用户具有这些标签。此时,用户执行的程序都在这些标签规则的范围内。 在Fedora中,默认用户关联的是unconfined_t标签,这个标签是有限制的,相当于没有开启SELinux。这主要是出于兼容性的考虑,有针对性的规则只限制与网络相关的应用。RedHat建议用户关联非unconfined_t标签以提高安全性。 1。配置账号映射SELinux用户。$sudosemanagelogin-a-sstaff_u-rs0:c0.c1023Jone 2、配置sudo,指定需要转换的ROLE/TYPE。$sudoecho"JoneALL=(ALL)TYPE=unconfined_tROLE=unconfined_rALL">>/etc/sudoers.d/Jone 3.备注主目录并重新启动。$restorecon-R-v/home/Jone 4.您的登录shell现在以staff_u用户身份运行。$id-Zstaff_u:staff_r:staff_t:s0-s0:c0.c1023 5.如果需要进行系统管理操作,可以使用sudo提权,和之前完全一样。$sudoid-Zstaff_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 广告 ***,广告插播。Fedora社区源都是用SELinux加固软件,目前是sogoupinyin做的。 安装sogoupinyinSELinux模块并禁止sogou上网:$sudodninstalsogoupinyinsogoupinyin-selinux$sudosetsebool-Psogou_access_network=0【小编推荐】Ubuntu15.10安装TeamViewer10使用代理服务器上网时,如何安装Ubuntu桌面版Fedora23HowtoInstallLAMPserver安装Fedora23工作站后,必须做的24件事Fedora23新特性介绍及Fedora23工作站安装指南
