V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
dzdh
V2EX  ›  Linux

最近对内部安全有点想法想啃啃,找了两本书(SELinux),英文版看着费劲求中文版,搜了一圈没搜到。

  •  
  •   dzdh · 2023-10-24 11:02:01 +08:00 · 1538 次点击
    这是一个创建于 415 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一本是:

    SELinux System Administration - Second Edition (Sven Vermeulen) (Z-Library)

    还有一个是(apparmor 应该是 suse/debian 的类 selinux 框架):

    SELinux AppArmor (Ralf Spenneberg) (Z-Library)

    还有一个 example:

    SELinux by Example Using Security Enhanced Linux (Frank Mayer, Karl MacMillan, David Caplan) (Z-Library)

    求哪里有看到过中文版的大手子分享一下

    18 条回复    2023-11-01 15:48:52 +08:00
    Songxwn
        1
    Songxwn  
       2023-10-24 11:07:11 +08:00
    居然有人学这玩意
    ho121
        2
    ho121  
       2023-10-24 11:21:20 +08:00 via Android
    Selinux 一般不都关掉了么。至少我待过的公司是这样
    dzdh
        3
    dzdh  
    OP
       2023-10-24 11:39:57 +08:00
    @Songxwn
    @ho121

    就是突然有兴趣,学学看。对于内部的访问限制和网络连接啥的。
    SixGodHave7
        4
    SixGodHave7  
       2023-10-24 13:31:08 +08:00
    找不到直接让让 GPT 给你翻译一本书
    bt7vip
        5
    bt7vip  
       2023-10-24 13:38:01 +08:00 via Android
    红帽有 SELinux 的文档,入门感觉是够了,有详细的根据信息调整 SELinux 策略,创建策略,更新策略以及创建自定义策略,如果想做到自定义策略,对基础知识要求比较高。
    yogogo
        6
    yogogo  
       2023-10-24 13:59:03 +08:00   ❤️ 1
    这个东西还是挺重要的。我之前用谷歌云,关闭 SELinux 后,分分钟被挂挖矿程序,关端口清除干净又马上被挂,后面索性开 SELinux 后,就清静了。SELinux 除了配置麻烦之外,也挺好用
    dzdh
        7
    dzdh  
    OP
       2023-10-24 14:07:00 +08:00
    @yogogo 就这个意思 他算是一个最后的兜底安全策略吧
    Puteulanus
        8
    Puteulanus  
       2023-10-24 14:10:02 +08:00
    试试沉浸式翻译调 OpenAI 的接口翻译书的功能
    yudoo
        9
    yudoo  
       2023-10-24 14:10:15 +08:00
    @dzdh 最近我安装 ftp 文件服务器,windows 连接时候不能上传文件,把 SELinux 关闭后就好了,也不知道是为什么
    yudoo
        10
    yudoo  
       2023-10-24 14:11:05 +08:00
    @ho121 是的一般都关掉了,应该是内网用不到吧,毕竟还网关路由安全防护
    dzdh
        11
    dzdh  
    OP
       2023-10-24 14:17:05 +08:00
    @yudoo #9 小规模用我觉得不用管这东西。这东西我觉得就是系统安全的最后一道防线,比如只开一个 ftp 服务,他进不来系统,但是比如 vsftpd 有个什么 0day 进来了,有这个就还能钉死在一定范围内,小规模用可以关闭我觉得。
    echoyangjx
        12
    echoyangjx  
       2023-10-24 14:28:25 +08:00
    之前仔细研究过这玩意,我想说这东西不太实用
    dzdh
        13
    dzdh  
    OP
       2023-10-24 14:44:49 +08:00
    @echoyangjx 比如呢,我粗看了几眼,就是进程+目标文件、端口取 label 交集,过了就 DAC
    gvdlmjwje
        14
    gvdlmjwje  
       2023-10-24 14:52:57 +08:00
    我一般怀疑这东西作妖先关掉看下问题解决没有,如果能解决了再打开,然后查下具体要该哪个参数,直接关从来不是推荐的操作
    tywtyw2002
        15
    tywtyw2002  
       2023-10-24 15:00:34 +08:00
    selinux 这东西一般企业都用不到啊

    主要是政府部门和军事部门用的,因为他们很多计算机是公用的,然后根据保密等级安全等级。。。。。

    现在企业(服务器)搞安全没人用这个。现在服务器都开始 Infrastructure as Code ,安全已经不是在 linux 层面搞了。
    miaosl
        16
    miaosl  
       2023-10-27 16:44:05 +08:00
    selinux 我的理解就是软件只能对自己的文件有权限,否则没有权限执行,不过可以手动给标签
    dzdh
        17
    dzdh  
    OP
       2023-10-27 17:11:37 +08:00
    @miaosl 还有端口、网络、设备操作。重点是自己开发的程序,比如 go 编译后不是二进制直接执行么。它的日志,它能绑定的端口、网卡设备,它能操作的目录列表等等。这块儿难,要学自定义规则写 te 文件
    miaosl
        18
    miaosl  
       2023-11-01 15:48:52 +08:00
    @dzdh 这么复杂啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4481 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 09:49 · PVG 17:49 · LAX 01:49 · JFK 04:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.