作者 主題: 2008十月份 SA@Tainan SELinux初探(10/11)  (閱讀 15372 次)

0 會員 與 1 訪客 正在閱讀本文。

billy3321

  • 活潑的大學生
  • ***
  • 文章數: 269
  • 性別: 男
    • 檢視個人資料
    • 雨蒼的筆記本
主題:SELinux初探

簡介:
SELinux是美國國家安全局為Linux設計的專案,目標是維護作業系統的安全。Linux kernel在2.6版之後亦將SELinux收錄其中作為作業系統安全性的最後一道防線。惟許多使用者不了解SELinux的功能,常常在架設網站時由於無法讀取或寫入檔案而將其關閉,甚為可惜。本講請來在各大Linux討論版不厭其煩為許多新手解答疑惑的kenduest大哥,讓kenduest大哥將SELinux的功能概略性的跟大家介紹一次。

講師簡介:
Kenduest Lee,一般朋友稱呼為小州,為自由的工作者。目前從事教育訓練與技術顧問等工作。
blog:
http://kenduest.sayya.org/blog/

時間:10月11日14:00:00-17:00

地點:台南市社區大學 3F 305教室
台南市社區大學網頁:
http://www.tncomu.tn.edu.tw/
地址:
台南市公園路750號
http://www.tncomu.tn.edu.tw/modules/tinyd5/content/map.gif

人數限制:60人

報名網址:
http://registrano.com/events/satn0810

附註:
本次活動會後,想要認識大家或是想一起聊天的朋友們,可以到庫肯花園來聚餐喔!
如果您要自行前往的話,請在六點左右到達庫肯花園。

庫肯花園地址:
台南市東區大學路22巷1號

http://www.ipeen.com.tw/shop/shop.php?id=38377
« 上次編輯: 2008-10-15 16:47 由 billy3321 »

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #1 於: 2008-09-20 11:14 »
報名網址沒上喔   :D :D

billy3321

  • 活潑的大學生
  • ***
  • 文章數: 269
  • 性別: 男
    • 檢視個人資料
    • 雨蒼的筆記本
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #2 於: 2008-09-20 11:22 »
報名網址沒上喔   :D :D
不好意思,不才小弟剛剛還在作業中@@~請多見諒

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #3 於: 2008-09-20 11:25 »
報名網址沒上喔   :D :D
不好意思,不才小弟剛剛還在作業中@@~請多見諒

喔喔~~ 那是我猴急了點, sorry  ^^

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #4 於: 2008-09-20 11:31 »
搶了頭香  ;D ;D



其 SELinux ... 對它一直都很困惑

如簡介裡說的, 為了要順利讀寫檔案而關閉  :P

不過是內部的主機才會關閉啦~~

對外的主機還是會開著  :D :D

真的很感謝小州兄能開這個課程 ^^

tiebob

  • 憂鬱的高中生
  • ***
  • 文章數: 108
    • 檢視個人資料
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #5 於: 2008-10-03 11:38 »
不知會不會有台北場啊?!

期待中............

micmic3

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #6 於: 2008-10-06 10:51 »
嗯 .....推台北場....
selinux 真的很困擾啊!

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #7 於: 2008-10-06 11:36 »
嗯 .....推台北場....
selinux 真的很困擾啊!

來台南啦~~

我也要從台中搭車到台南去聽
就怕錯過了這次, 以後不知什麼時候才會再有這機會 :D

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1370
    • 檢視個人資料
    • http://darkranger.no-ip.org
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #8 於: 2008-10-08 23:16 »
我對這個講題非常的有興趣
可惜是在台南....

billy3321

  • 活潑的大學生
  • ***
  • 文章數: 269
  • 性別: 男
    • 檢視個人資料
    • 雨蒼的筆記本
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #9 於: 2008-10-08 23:35 »
我對這個講題非常的有興趣
可惜是在台南....
如果您願意來的話
我們很歡迎您來台南玩喔^^

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #10 於: 2008-10-12 01:04 »

當天簡報整理好再上傳。
I am kenduest - 小州

my website: http://kenduest.sayya.org/

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #11 於: 2008-10-12 03:13 »
今天的課程內容實在是太精彩了

以前都不知道 SELinux 可以這樣使用  :D

感謝小州大師  m(_ _)m

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #12 於: 2008-10-16 00:48 »

大家好。

這邊附上當天用的簡報,提供給一些朋友參考。不過這份簡報有點凌亂,最近實在有點忙所以就不另外整頓過,還希望閱讀上有任何不清楚請多包涵。

http://kenduest.sayya.org/blog/?p=113

--
I am kenduest - 小州

my website: http://kenduest.sayya.org/

billy3321

  • 活潑的大學生
  • ***
  • 文章數: 269
  • 性別: 男
    • 檢視個人資料
    • 雨蒼的筆記本
回覆: 2008十月份 SA@Tainan SELinux初探(10/11)
« 回覆 #13 於: 2008-10-16 01:01 »

關於SELinux,小弟想請教兩個問題
由於strict模式較為完整,小弟以下描述是以strict環境為主


第一個是關於security context中的三個欄位

這三個欄位依序是 identify:role(object?):type(domain)

其一是,在process以及user上,這三個欄位是怎麼決定的?

是由identify身分屬於的role來決定role,
再經由role應該配置的type來決定type欄位嗎?

另外小州大哥之前放出來的投影片中有提到
以root身分執行ftpd時,policy會判斷是否要轉移domian,
若可以則會變更ftpd之type。

以下這邊是我的判斷


開機就執行的sshd
他的secure context是
system_u:system_r:sshd_t
而root執行的sshd則是
root:system_r:sshd_t

另外如果分別以各種身分執行一個自己寫的script(user_u:object_r:user_home_t),
結果如下:
以本機登入root執行
root:sysadm_r:sysadm_t
以ssh登入root執行
root:staff_r:staff_t
以一般使用者執行
user_u:user_r:user_t
以ssh登入一般使用者執行
user_u:user_r:user_t

因此transition這是對於type方面,在identify與role方面則是過繼
來自於執行者的identify


2.第二個問題是在判斷上。

最後要判斷的時候,是先判斷使用者(subject)能否執行該執行檔(object),
再判斷所執行的行程(subject)與目標檔案,socket等(object)。
其中判斷的依據是secure context的內容,
我想請教的是,是context中三個欄位都會互相比較,通過了才可以,
還是只有比較type欄位而已?


先在這邊感謝小州老師的回答了!