2008十月份 SA@Tainan SELinux初探(10/11)

[billy3321]

主題：SELinux初探

簡介：
SELinux是美國國家安全局為Linux設計的專案，目標是維護作業系統的安全。Linux kernel在2.6版之後亦將SELinux收錄其中作為作業系統安全性的最後一道防線。惟許多使用者不了解SELinux的功能，常常在架設網站時由於無法讀取或寫入檔案而將其關閉，甚為可惜。本講請來在各大Linux討論版不厭其煩為許多新手解答疑惑的kenduest大哥，讓kenduest大哥將SELinux的功能概略性的跟大家介紹一次。

講師簡介：
Kenduest Lee，一般朋友稱呼為小州，為自由的工作者。目前從事教育訓練與技術顧問等工作。
blog：
http://kenduest.sayya.org/blog/

時間：10月11日14:00:00-17:00

地點：台南市社區大學 3F 305教室
台南市社區大學網頁：
http://www.tncomu.tn.edu.tw/
地址：
台南市公園路750號
http://www.tncomu.tn.edu.tw/modules/tinyd5/content/map.gif

人數限制：60人

報名網址：
http://registrano.com/events/satn0810

附註：
本次活動會後，想要認識大家或是想一起聊天的朋友們，可以到庫肯花園來聚餐喔！
如果您要自行前往的話，請在六點左右到達庫肯花園。

庫肯花園地址：
台南市東區大學路22巷1號

http://www.ipeen.com.tw/shop/shop.php?id=38377

[yamaka]

報名網址沒上喔   

[billy3321]

報名網址沒上喔   

不好意思，不才小弟剛剛還在作業中@@~請多見諒

[yamaka]

報名網址沒上喔   

不好意思，不才小弟剛剛還在作業中@@~請多見諒

喔喔~~ 那是我猴急了點, sorry  ^^

[yamaka]

搶了頭香 



其 SELinux ... 對它一直都很困惑

如簡介裡說的, 為了要順利讀寫檔案而關閉 

不過是內部的主機才會關閉啦~~

對外的主機還是會開著 

真的很感謝小州兄能開這個課程 ^^

[tiebob]

不知會不會有台北場啊？！

期待中............

[micmic3]

嗯 .....推台北場....
selinux 真的很困擾啊!

[yamaka]

嗯 .....推台北場....
selinux 真的很困擾啊!

來台南啦~~

我也要從台中搭車到台南去聽
就怕錯過了這次, 以後不知什麼時候才會再有這機會

[darkranger]

我對這個講題非常的有興趣
可惜是在台南....

[billy3321]

我對這個講題非常的有興趣
可惜是在台南....

如果您願意來的話
我們很歡迎您來台南玩喔^^

[kenduest]

當天簡報整理好再上傳。

[yamaka]

今天的課程內容實在是太精彩了

以前都不知道 SELinux 可以這樣使用 

感謝小州大師  m(_ _)m

[kenduest]

大家好。

這邊附上當天用的簡報，提供給一些朋友參考。不過這份簡報有點凌亂，最近實在有點忙所以就不另外整頓過，還希望閱讀上有任何不清楚請多包涵。

http://kenduest.sayya.org/blog/?p=113

--

[billy3321]

關於SELinux，小弟想請教兩個問題
由於strict模式較為完整，小弟以下描述是以strict環境為主


第一個是關於security context中的三個欄位

這三個欄位依序是 identify:role(object？):type(domain)

其一是，在process以及user上，這三個欄位是怎麼決定的？

是由identify身分屬於的role來決定role，
再經由role應該配置的type來決定type欄位嗎？

另外小州大哥之前放出來的投影片中有提到
以root身分執行ftpd時，policy會判斷是否要轉移domian，
若可以則會變更ftpd之type。

以下這邊是我的判斷


開機就執行的sshd
他的secure context是
system_u:system_r:sshd_t
而root執行的sshd則是
root:system_r:sshd_t

另外如果分別以各種身分執行一個自己寫的script(user_u:object_r:user_home_t)，
結果如下：
以本機登入root執行
root:sysadm_r:sysadm_t
以ssh登入root執行
root:staff_r:staff_t
以一般使用者執行
user_u:user_r:user_t
以ssh登入一般使用者執行
user_u:user_r:user_t

因此transition這是對於type方面，在identify與role方面則是過繼
來自於執行者的identify


2.第二個問題是在判斷上。

最後要判斷的時候，是先判斷使用者(subject)能否執行該執行檔(object)，
再判斷所執行的行程(subject)與目標檔案，socket等(object)。
其中判斷的依據是secure context的內容，
我想請教的是，是context中三個欄位都會互相比較，通過了才可以，
還是只有比較type欄位而已？


先在這邊感謝小州老師的回答了！