Your SlideShare is downloading. ×
0
SELinux.Общий обзор и инструменты администратораAndrey MarkelovRHCARed Hat, Presales Solution Architect
План выступления    ●   MAC vs DAC    ●   Архитектура SELinux    ●   Управление    ●   Отладка    ●   Что дальше?2
MAC vs DAC    ●   DAC – пользователь/группа        ●   Данные других процессов        ●   /tmp, /var/tmp...    ●   MAC – п...
SELinux – реализация MAC для Linux    ●   Оригинально – разработка АНБ США    ●   Интегрирована в ядро        ●   LSM и ра...
Архитектура    ●   Политика        ●   Сотни процессов    ●   Контекст безопасности    ●   Пример для web-сервера:        ...
Управление ●    /etc/sysconfig/selinux, kernel в grub       ●   sestatus ●    setenforce, getenforce ●    Параметр -Z     ...
Управление - system-config-selinux7
Информация    ●   /var/log/audit/audit.log         ●   chkconfig auditd on         ●   type=AVC msg=audit(1328729292.363:3...
Что дальше?    ●   Документация RHEL/Fedora    ●   man (LANG=ru_RU.UTF-8)    ●   Списки рассылки/блоги    ●   Курс RH4299
Спасибо!  Андрей Маркелов andrey@redhat.comtwitter.com/amarkelov
Upcoming SlideShare
Loading in...5
×

SELinux. Общий обзор и инструменты администратора

313

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
313
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "SELinux. Общий обзор и инструменты администратора"

  1. 1. SELinux.Общий обзор и инструменты администратораAndrey MarkelovRHCARed Hat, Presales Solution Architect
  2. 2. План выступления ● MAC vs DAC ● Архитектура SELinux ● Управление ● Отладка ● Что дальше?2
  3. 3. MAC vs DAC ● DAC – пользователь/группа ● Данные других процессов ● /tmp, /var/tmp... ● MAC – политики не привязанные к пользователю/группе ● Процесс ● Файл и директория ● Порт ● ...3
  4. 4. SELinux – реализация MAC для Linux ● Оригинально – разработка АНБ США ● Интегрирована в ядро ● LSM и расширенные атрибуты ● Для чего использовать: ● Запуск программ с минимальными привилегиями ● Защита от эксплоитов ● Защита пользовательских данных ● Для чего не предназначена: ● Аудит кода ● Шифрование ● Обновления4
  5. 5. Архитектура ● Политика ● Сотни процессов ● Контекст безопасности ● Пример для web-сервера: ● Исполнимый файл Apache /usr/sbin/httpd имеет тип httpd_exec_t ● Документы в /var/www/html имеют тип httpd_sys_content_t ● Процесс Apache httpd запускается в домене httpd_t ● Демо5
  6. 6. Управление ● /etc/sysconfig/selinux, kernel в grub ● sestatus ● setenforce, getenforce ● Параметр -Z ● ls, ps, id ● Атрибуты ● tar –selinux ● chcon ● Restorecon ● touch /.autorelabel ● getsebool, setsebool6 ● semanage
  7. 7. Управление - system-config-selinux7
  8. 8. Информация ● /var/log/audit/audit.log ● chkconfig auditd on ● type=AVC msg=audit(1328729292.363:34): avc: denied ● { getattr } for pid=3205 comm="httpd" ● path="/home/auser/public_html" dev=dm-1 ● ino=81928 scontext=system_u:system_r:httpd_t:s0 ● tcontext=root:object_r:user_home_t:s0 tclass=dir ● /var/log/messages ● Sealert ● setroubleshootd8
  9. 9. Что дальше? ● Документация RHEL/Fedora ● man (LANG=ru_RU.UTF-8) ● Списки рассылки/блоги ● Курс RH4299
  10. 10. Спасибо! Андрей Маркелов andrey@redhat.comtwitter.com/amarkelov
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×