SELinux需求分析

chenxiaoping020

回复 21# beyondfly


    嗯，谢谢！

chenxiaoping020

回复 22# kiongf


    您概况了如何写好策略的方方面面，看来，这确实是一个需要时间积累的复杂工程，我想，以后，应该一步一个脚印，学好基本功，为以后能写好策略做准备。谢谢咯！

chenxiaoping020

回复 23# beyondfly


    呵呵，希望会是这样！ The_SELinux_Notebook_The_Foundations_3rd_Edition.pdf ，是 kiongf大哥的上传的这本么？

chenxiaoping020

回复 28# kiongf


    感激分享的伟大！

chenxiaoping020

回复 30# ForDream_Xin


   

chenxiaoping020

回复 28# kiongf


    kiongf大哥：
         您好！
         最近碰到一个棘手的问题，昨天，我们提交了这段时间写的一个需求分析。关于“linux操作系统内核加固”。
         但我们的师傅说，需求写的不符合要求。我主要是描述了，利用SELinux来加强内核的安全性。从三个方面来写：网络方面的安全提升，操作系统的安全提升，应用软件的安全提升。对于每个方面，我都描述了利用SELinux能够实现的系统安全加强的目标。比如，在写体统安全加强的时候，我描写了：指定的进程访问指定的客体资源；通过限制域转换的过程，限制普通用户通过setuid调用提升自己的权限；限制用户访问和修改shadow文件等等。其他两方面我也是按照这种格式写的。
         结果我们的师傅（他本人并未做SELinux）说我们写的这个需求不行，不符合需求要求，他说感觉我们写的就好像是在介绍SELinux似的。他的想法是这样的：把编写策略做成一种应用软件的形式，直接面向客户，举个例子，用户只要输入一些简单的命令，就可以选择性地实现对自己的SELinux 的配置，就像做成防火墙的这种形式。
        但是，当时我就想，这些应该是不太现实的。我理解的实现过程应该是这样的：客户先提出自己的需求，然后再针对客户的需求，去编写属于特定客户的个性化的策略。而不是说，你编写好了一个策略，就可以把它当成一种产品，任何人想要，就直接可以安装使用。  
        望您能帮我解除我心中的疑惑！！！

chenxiaoping020

回复 33# kiongf
       恩，首先感谢您！
       关于您说的“A用户运行的程序和B用户运行的程序权限的不同”，那这是不是意味着，每新注册一个用户账户，就要去修改策略？
       您说的“selinux现在有一个接口确实能够在不更改当前策略数据库的前提下更改授权规则，就在selinux/booleans/。”是通过设置布尔值实现的吗？
      

   

chenxiaoping020

回复 35# kiongf


    恩，谢谢咯！看到您的提示，我才想起来，之前看过这些概念

chenxiaoping020

回复 36# kiongf


    ) ，谢谢，虽然很多地方现在还看不懂，但我想，以后会对我有帮助的。

chenxiaoping020

回复 36# kiongf

大哥，问下您，您在分析编写策略的时候，是使用apol工具么？或者，还使用过其他什么好的工具？