Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux 4: Manual de referencia - SELinux

Cap�tulo 21. SELinux

Security-Enhanced Linux o SELinux, es una arquitectura de seguridad integrada en el kernel 2.6.x usando los m�dulos de seguridad linux (o linux security modules, LSM). Este es un proyecto de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos y de la comunidad SELinux. La integraci�n de SELinux en Red Hat Enterprise Linux fue un esfuerzo conjunto entre al NSA y Red Hat.

21.1. Introducci�n a SELinux

SELinux proporciona un sistema flexible de control de acceso obligatorio (mandatory access control, MAC) incorporado en el kernel. Bajo el Linux est�ndar se utiliza el control de acceso a discreci�n (discretionary access control, DAC), en el que un proceso o aplicaci�n ejectut�ndose como un usuario (UID o SUID) tiene los permisos y de ese usuario en los objetos, archivos, z�calos y otros procesos. Al ejecutar un kernel SELinux MAC se protege al sistema de aplicaciones maliciosas o da�adas que pueden perjudicar o destruir el sistema. SELinux define el acceso y los derechos de transici�n de cada usuario, aplicaci�n, proceso y archivo en el sistema. SELinux gobierna la interacci�n de estos sujetos y objectos usando una pol�tica de seguridad que especifica cu�n estricta o indulgente una instalaci�n de Red Hat Enterprise Linux dada deber�a de ser.

En su mayor parte, SELinux es casi invisible para la mayor�a de los usuarios. Solamente los administradores de sistemas se deben de preocupar sobre lo estricto que debe ser una pol�tica a implementar en sus entorno de servidores. La pol�tica puede ser tan estricta o tan indulgente como se requiera, y es bastante detallada. Este detalle le d� al kernel SELinux un control total y granular sobre el sistema completo.

Cuando un sujeto, tal como una aplicaci�n, intenta acceder a un objeto tal como a un archivo, el servidor de aplicaci�n de pol�ticas verifica un cach� de vector de acceso (AVC), donde se registran los permisos de objeto y del sujeto. Si no se puede tomar una decisi�n basado en los datos en el AVAC, la petici�n continua al servidor de seguridad, el cual busca el contexto de securidad de la aplicaci�n y del archivo en una matriz. Los permisos son entonces otorgados o negados, con un mensaje de avc: denied detallado en /var/log/messages. Los sujetos y objetos reciben su contexto de seguridad a partir de la pol�tica instalada, que tambi�n proporciona informaci�n para llenar la matriz de seguridad del servidor.

Adem�s de ejecutarse en un modo impositivo, SELinux puede ejecutarse en un modo permisivo, donde el AVC esverificado y se registran los rechazos, pero SELinux no hace cumplir esta pol�tica.

Para m�s informaci�n sobre el funcionamiento de SELinux, consulte la Secci�n 21.3.

 
 
  Published under the terms of the GNU General Public License Design by Interspire