www.wikidata.uk-ua.nina.az

SELinux site Графічний інтерфейс адміністрування у Fedora 8Тип БезпекаРозробник Red HatПерший випуск 1998Операційна сист

SELinux

SELinux
Графічний інтерфейс адміністрування SELinux у Fedora 8
Тип Безпека
Розробник Red Hat
Перший випуск 1998
Операційна система Компонент ядра Linux
Мова програмування C
Ліцензія GNU GPL
Репозиторій github.com/SELinuxProject/selinux
Вебсайт selinuxproject.org
 SELinux у Вікісховищі

SELinux (англ. Security-Enhanced Linux — Linux з покращеним рівнем безпеки) — реалізація системи мандатного керування доступом, яка може працювати паралельно з класичним вибірковим керуванням доступом. Входить в стандартне ядро Linux.

Історія ред.

SELinux був розроблений Агентством національної безпеки США, а потім його вихідні коди були представлені для скачування.

Оригінальний текст (англ.)
From NSA Security-enhanced Linux Team: «NSA Security-enhanced Linux is a set of patches to the Linux kernel and some utilities to incorporate a strong, flexible mandatory access control (MAC) architecture into the major subsystems of the kernel. It provides a mechanism to enforce the separation of information based on confidentiality and integrity requirements, which allows threats of tampering and bypassing of application security mechanisms to be addressed and enables the confinement of damage that can be caused by malicious or flawed applications. It includes a set of sample security policy configuration files designed to meet common, general-purpose security goals.»

SELinux включений до складу ядра Linux (починаючи з версії 2.6).

Короткий опис ред.

Залишаючись у рамках системи контролю доступу, ОС має фундаментальне обмеження в плані розподілу доступу процесів до ресурсів — доступ до ресурсів ґрунтується на правах доступу користувача. Це класичні права rwx на трьох рівнях — власник, група-власник і інші.

У SELinux права доступу визначаються самою системою за допомогою спеціальної гнучкої політики, що працює на рівні системних викликів і застосовуються безпосередньо ядром (хоча можна реалізувати і на рівні програми). SELinux діє після класичної моделі безпеки Linux. Тому засобами SELinux неможливо дозволити те, що не було дозволено засобами дискреційного керування доступом.

У більшості випадків правила SELinux «прозорі» для програм, і не вимагається ніякої їх модифікації. До складу деяких дистрибутивів входять готові політики, в яких права можуть визначатися на основі збігу типів процесу (суб'єкта) і файлу (об'єкта) — це основний механізм SELinux. Дві інших форми керування доступом — доступ на основі ролей та на основі багаторівневої системи безпеки. Наприклад, за ступенями обмеження доступу «відкрита інформація», «для службового користування», «таємно», «цілком таємно», «особливої важливості».

Найпростіший для роботи та з точки зору підтримки тип політики — так звана «цільова» політика, розроблена в рамках проекту Fedora. В рамках політики описано більш ніж 200 процесів, які можуть виконуватися в операційній системі. Все, що не описано «цільовою» політикою, виконується в домені (з типом) unconfined_t. Процеси, що працюють в цьому домені, не захищаються SELinux. Таким чином, всі сторонні користувацькі програми будуть без будь-яких проблем працювати в системі з цільовою політикою в рамках класичних дозволів системи вибіркового керування доступом.

Крім «цільової» політики до складу деяких дистрибутивів входить політика з багаторівневою моделлю безпеки (з підтримкою моделі Белла — Лападули).

Третій варіант політики — «суворий». Тут діє принцип «що не дозволено, те заборонено» (принцип найменших прав). Політика заснована на Reference Policy[що це?] від компанії Tresys.

Також для функціонування SELinux потрібні модифіковані версії деяких утиліт (ps, ls, і т. д.), що забезпечують підтримку нових функцій ядра, і підтримка з боку файлової системи.

Можливості ред.

  • Чисте відокремлення політики від її виконання
  • Чітко визначені інтерфейси політики
  • Підтримка додатків, які запитують політику та забезпечують керування доступом (наприклад, виконувані завдання в командному контексті)
  • Незалежність конкретних політик та мов політик
  • Незалежність окремих форматів і вмісту міток безпеки
  • Окремі мітки та елементи керування об'єктами та службами ядра
  • Підтримка змін політики
  • Окремі заходи для захисту цілісності системи (доменного типу) та конфіденційності даних (багаторівнева безпека)
  • Гнучка політика
  • Контроль над ініціалізацією процесу, наслідуванням та виконанням програми
  • Керування файловою системою, каталогами, файлами та відкритими дескрипторами файлів
  • Керування сокетами, повідомленнями та мережевими інтерфейсами
  • Керування використанням «можливостей»
  • Кешування інформації про прийняті рішення про надання доступу через кеш векторів доступу (Access Vector Cache, AVC)

Див. також ред.

Примітки ред.

  1. . National Security Agency. 15 січня 2009. Архів оригіналу за 19 липня 2019. Процитовано 6 лютого 2013. 
  2. Torvalds, Linus (8 серпня 2003). (англійською). Архів оригіналу за 17 квітня 2018. Процитовано 17 квітня 2018. 
  3. Fedora Documentation Project (2010). . Fultus Corporation. с. 18. ISBN 978-1-59682-215-3. Архів оригіналу за 8 червня 2020. Процитовано 22 лютого 2012. «SELinux decisions, such as allowing or disallowing access, are cached. This cache is known as the Access Vector Cache (AVC). Caching decisions decreases how often SELinux rules need to checked, which increases performance.»  

Джерела ред.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри
Дата публікації:
site SELinuxGrafichnij interfejs administruvannya SELinux u Fedora 8Tip BezpekaRozrobnik Red HatPershij vipusk 1998Operacijna sistema Komponent yadra LinuxMova programuvannya CLicenziya GNU GPLRepozitorij github com SELinuxProject selinuxVebsajt selinuxproject org SELinux u VikishovishiSELinux angl Security Enhanced Linux Linux z pokrashenim rivnem bezpeki realizaciya sistemi mandatnogo keruvannya dostupom yaka mozhe pracyuvati paralelno z klasichnim vibirkovim keruvannyam dostupom Vhodit v standartne yadro Linux Zmist 1 Istoriya 2 Korotkij opis 3 Mozhlivosti 4 Div takozh 5 Primitki 6 DzherelaIstoriya red SELinux buv rozroblenij Agentstvom nacionalnoyi bezpeki SShA a potim jogo vihidni kodi buli predstavleni dlya skachuvannya 1 Originalnij tekst angl From NSA Security enhanced Linux Team NSA Security enhanced Linux is a set of patches to the Linux kernel and some utilities to incorporate a strong flexible mandatory access control MAC architecture into the major subsystems of the kernel It provides a mechanism to enforce the separation of information based on confidentiality and integrity requirements which allows threats of tampering and bypassing of application security mechanisms to be addressed and enables the confinement of damage that can be caused by malicious or flawed applications It includes a set of sample security policy configuration files designed to meet common general purpose security goals SELinux vklyuchenij do skladu yadra Linux pochinayuchi z versiyi 2 6 2 Korotkij opis red Zalishayuchis u ramkah sistemi kontrolyu dostupu OS maye fundamentalne obmezhennya v plani rozpodilu dostupu procesiv do resursiv dostup do resursiv gruntuyetsya na pravah dostupu koristuvacha Ce klasichni prava rwx na troh rivnyah vlasnik grupa vlasnik i inshi U SELinux prava dostupu viznachayutsya samoyu sistemoyu za dopomogoyu specialnoyi gnuchkoyi politiki sho pracyuye na rivni sistemnih viklikiv i zastosovuyutsya bezposeredno yadrom hocha mozhna realizuvati i na rivni programi SELinux diye pislya klasichnoyi modeli bezpeki Linux Tomu zasobami SELinux nemozhlivo dozvoliti te sho ne bulo dozvoleno zasobami diskrecijnogo keruvannya dostupom U bilshosti vipadkiv pravila SELinux prozori dlya program i ne vimagayetsya niyakoyi yih modifikaciyi Do skladu deyakih distributiviv vhodyat gotovi politiki v yakih prava mozhut viznachatisya na osnovi zbigu tipiv procesu sub yekta i fajlu ob yekta ce osnovnij mehanizm SELinux Dvi inshih formi keruvannya dostupom dostup na osnovi rolej ta na osnovi bagatorivnevoyi sistemi bezpeki Napriklad za stupenyami obmezhennya dostupu vidkrita informaciya dlya sluzhbovogo koristuvannya tayemno cilkom tayemno osoblivoyi vazhlivosti Najprostishij dlya roboti ta z tochki zoru pidtrimki tip politiki tak zvana cilova politika rozroblena v ramkah proektu Fedora V ramkah politiki opisano bilsh nizh 200 procesiv yaki mozhut vikonuvatisya v operacijnij sistemi Vse sho ne opisano cilovoyu politikoyu vikonuyetsya v domeni z tipom unconfined t Procesi sho pracyuyut v comu domeni ne zahishayutsya SELinux Takim chinom vsi storonni koristuvacki programi budut bez bud yakih problem pracyuvati v sistemi z cilovoyu politikoyu v ramkah klasichnih dozvoliv sistemi vibirkovogo keruvannya dostupom Krim cilovoyi politiki do skladu deyakih distributiviv vhodit politika z bagatorivnevoyu modellyu bezpeki z pidtrimkoyu modeli Bella Lapaduli Tretij variant politiki suvorij Tut diye princip sho ne dozvoleno te zaboroneno princip najmenshih prav Politika zasnovana na Reference Policy sho ce vid kompaniyi Tresys Takozh dlya funkcionuvannya SELinux potribni modifikovani versiyi deyakih utilit ps ls i t d sho zabezpechuyut pidtrimku novih funkcij yadra i pidtrimka z boku fajlovoyi sistemi Mozhlivosti red Chiste vidokremlennya politiki vid yiyi vikonannyaChitko viznacheni interfejsi politiki Pidtrimka dodatkiv yaki zapituyut politiku ta zabezpechuyut keruvannya dostupom napriklad vikonuvani zavdannya v komandnomu konteksti Nezalezhnist konkretnih politik ta mov politik Nezalezhnist okremih formativ i vmistu mitok bezpeki Okremi mitki ta elementi keruvannya ob yektami ta sluzhbami yadra Pidtrimka zmin politiki Okremi zahodi dlya zahistu cilisnosti sistemi domennogo tipu ta konfidencijnosti danih bagatorivneva bezpeka Gnuchka politika Kontrol nad inicializaciyeyu procesu nasliduvannyam ta vikonannyam programi Keruvannya fajlovoyu sistemoyu katalogami fajlami ta vidkritimi deskriptorami fajliv Keruvannya soketami povidomlennyami ta merezhevimi interfejsami Keruvannya vikoristannyam mozhlivostej Keshuvannya informaciyi pro prijnyati rishennya pro nadannya dostupu cherez kesh vektoriv dostupu Access Vector Cache AVC 3 Div takozh red Access control listPrimitki red Security Enhanced Linux NSA CSS National Security Agency 15 sichnya 2009 Arhiv originalu za 19 lipnya 2019 Procitovano 6 lyutogo 2013 Torvalds Linus 8 serpnya 2003 Povidomlennya u spisku rozsilki yadra Linux do versiyi yadra 2 6 0 test3 anglijskoyu Arhiv originalu za 17 kvitnya 2018 Procitovano 17 kvitnya 2018 Fedora Documentation Project 2010 Fedora 13 Security Enhanced Linux User Guide Fultus Corporation s 18 ISBN 978 1 59682 215 3 Arhiv originalu za 8 chervnya 2020 Procitovano 22 lyutogo 2012 SELinux decisions such as allowing or disallowing access are cached This cache is known as the Access Vector Cache AVC Caching decisions decreases how often SELinux rules need to checked which increases performance Dzherela red https selinuxproject org Arhivovano 20 serpnya 2008 u Wayback Machine Agentstvo nacionalnoyi bezpeki SShA Security Enhanced Linux na sajti ANB Arhivovano 19 lipnya 2019 u Wayback Machine Spisok rozsilki Arhivovano 18 veresnya 2018 u Wayback Machine NSA shares security enhancements to Linux Press release 2 sichnya 2001 Arhiv originalu za 20 lyutogo 2018 Procitovano 16 kvitnya 2018 SELinux na GitHub Walsh Daniel J 13 listopada 2013 Visual how to guide for SELinux policy enforcement Opensource com Arhiv originalu za 7 lipnya 2017 Procitovano 16 kvitnya 2018 Otrimano z https uk wikipedia org w index php title SELinux amp oldid 40024860