最近对内部安全有点想法想啃啃,找了两本书(SELinux),英文版看着费劲求中文版,搜了一圈没搜到。

2023-10-24 11:02:01 +08:00
 dzdh

一本是:

SELinux System Administration - Second Edition (Sven Vermeulen) (Z-Library)

还有一个是(apparmor 应该是 suse/debian 的类 selinux 框架):

SELinux AppArmor (Ralf Spenneberg) (Z-Library)

还有一个 example:

SELinux by Example Using Security Enhanced Linux (Frank Mayer, Karl MacMillan, David Caplan) (Z-Library)

求哪里有看到过中文版的大手子分享一下

1526 次点击
所在节点    Linux
18 条回复
Songxwn
2023-10-24 11:07:11 +08:00
居然有人学这玩意
ho121
2023-10-24 11:21:20 +08:00
Selinux 一般不都关掉了么。至少我待过的公司是这样
dzdh
2023-10-24 11:39:57 +08:00
@Songxwn
@ho121

就是突然有兴趣,学学看。对于内部的访问限制和网络连接啥的。
SixGodHave7
2023-10-24 13:31:08 +08:00
找不到直接让让 GPT 给你翻译一本书
bt7vip
2023-10-24 13:38:01 +08:00
红帽有 SELinux 的文档,入门感觉是够了,有详细的根据信息调整 SELinux 策略,创建策略,更新策略以及创建自定义策略,如果想做到自定义策略,对基础知识要求比较高。
yogogo
2023-10-24 13:59:03 +08:00
这个东西还是挺重要的。我之前用谷歌云,关闭 SELinux 后,分分钟被挂挖矿程序,关端口清除干净又马上被挂,后面索性开 SELinux 后,就清静了。SELinux 除了配置麻烦之外,也挺好用
dzdh
2023-10-24 14:07:00 +08:00
@yogogo 就这个意思 他算是一个最后的兜底安全策略吧
Puteulanus
2023-10-24 14:10:02 +08:00
试试沉浸式翻译调 OpenAI 的接口翻译书的功能
yudoo
2023-10-24 14:10:15 +08:00
@dzdh 最近我安装 ftp 文件服务器,windows 连接时候不能上传文件,把 SELinux 关闭后就好了,也不知道是为什么
yudoo
2023-10-24 14:11:05 +08:00
@ho121 是的一般都关掉了,应该是内网用不到吧,毕竟还网关路由安全防护
dzdh
2023-10-24 14:17:05 +08:00
@yudoo #9 小规模用我觉得不用管这东西。这东西我觉得就是系统安全的最后一道防线,比如只开一个 ftp 服务,他进不来系统,但是比如 vsftpd 有个什么 0day 进来了,有这个就还能钉死在一定范围内,小规模用可以关闭我觉得。
echoyangjx
2023-10-24 14:28:25 +08:00
之前仔细研究过这玩意,我想说这东西不太实用
dzdh
2023-10-24 14:44:49 +08:00
@echoyangjx 比如呢,我粗看了几眼,就是进程+目标文件、端口取 label 交集,过了就 DAC
gvdlmjwje
2023-10-24 14:52:57 +08:00
我一般怀疑这东西作妖先关掉看下问题解决没有,如果能解决了再打开,然后查下具体要该哪个参数,直接关从来不是推荐的操作
tywtyw2002
2023-10-24 15:00:34 +08:00
selinux 这东西一般企业都用不到啊

主要是政府部门和军事部门用的,因为他们很多计算机是公用的,然后根据保密等级安全等级。。。。。

现在企业(服务器)搞安全没人用这个。现在服务器都开始 Infrastructure as Code ,安全已经不是在 linux 层面搞了。
miaosl
2023-10-27 16:44:05 +08:00
selinux 我的理解就是软件只能对自己的文件有权限,否则没有权限执行,不过可以手动给标签
dzdh
2023-10-27 17:11:37 +08:00
@miaosl 还有端口、网络、设备操作。重点是自己开发的程序,比如 go 编译后不是二进制直接执行么。它的日志,它能绑定的端口、网卡设备,它能操作的目录列表等等。这块儿难,要学自定义规则写 te 文件
miaosl
2023-11-01 15:48:52 +08:00
@dzdh 这么复杂啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/984824

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX