SE Linux被整合 將為Linux穿上安全盔甲(轉)

SE Linux被整合 將為Linux穿上安全盔甲(轉)[@more@]來自：計算機世界　

針對NSA（美國國家安全域性）開發的Linux安全工具，很多Linux開放原始碼開發人員都在做各方面的工作，努力使普通的系統管理員和應用開發人員更容易獲得和使用這些工具。

最近，一些軟體開發人員和使用者聚在一起探討了安全增強型Linux（Security Enhanced Linux，SE Linux）的發展趨勢以及在企業資料中心部署時可能出現的潛在缺陷。

SE Linux並不是一個像SuSE或Red Hat那樣的Linux發行版本，而是一系列對Linux核心的修改，限制了應用記憶體、處理器、作業系統配置檔案和其他對伺服器或PC機作業系統中關鍵元件的訪問權。SE Linux使用強制訪問控制來限制應用的訪問能力，使其只能訪問最小範圍內的必需資源。這種概念的目的是防止駭客利用設計較差的程式碼中所存在的漏洞來控制或攻破伺服器，當然也可以阻止駭客利用設計較好的軟體中所存在的小漏洞。

SE Linux是NSA於2000年推出的，該局的研究科學家Stephen Smalley 指出：“當時的SE Linux只涉及了整個Linux系統中很小的一部分。而目前SE Linux策略已經擴充套件到了更多領域。一年前，我們的支援能力還很不成熟，而且只有單一的策略。今天，我們已經可以支援模組化策略，使第三方應用開發人員也可以為SE Linux建立策略，並把這些策略寫進自己的應用程式中。”

為了使SE Linux 的使用變得更加容易，SE Linux Reference Policy 應運而生。這個開放原始碼專案是SE Linux開發過程中的一項重大進步，它可以建立多種工具，使開發人員可以更方便地在軟體中建立和應用SE Linux策略。

Smalley說，NAS還在進行其他一些SE Linux開發專案，目的在於將該技術推廣到桌面Linux系統和執行在單個硬體平臺之上的多種虛擬Linux系統上。

英國政府目前正在利用Linux系統和IBM WebSphere伺服器對SE Linux進行測試，以確保其市政Web服務網站和麵向公眾應用的Web服務架構的安全。英國政府內閣辦公室電子政府部技術設計師Mark Hocking 指出：“我們希望實施這些安全策略，這些策略規定了應用伺服器只能夠與哪些獲得授權的端點進行通訊。

英國的電子政府部門希望使用SE Linux來保護其Java 2 Enterprise Edition（J2EE）應用，而執行這些應用的WebSphere伺服器幾乎沒有做任何修改。Hocking說，到目前為止，該部門已經成功完成了公開測試。“當然，我們並不是說使用了SE Linux後就具備了百分之百的安全保證，但從目前的情況來看，它的表現非常好。相信透過在現有產品上應用SE Linux，我們將可以獲得更高的安全保障水平。”

目前，SE Linux已經被整合在Red Hat Enterprise Linux 4和Red Hat的Fedora Core版本4和最新的版本5中。然而，據Red Hat的開發人員稱，在預設情況下，它是處於關閉狀態的，因為這些策略會干擾常用的系統程式和應用，而開啟SE Linux後，管理員可能會遇到很多問題，因為這些策略嚴重限制了應用可以呼叫的資源，並有可能使應用癱瘓。

Red Hat首席軟體工程師Daniel Walsh說：“SE Linux似乎在應用中並不是很順利。因此，我們要做的是找出SE Linux是否會產生問題以及管理員應當採取哪些行動來修正這些問題。目前，管理員只能選擇啟用和禁用SE Linux。”

Walsh指出，Red Hat正在開發一些工具，使SE Linux能夠以模組的方式來實施，這樣就使管理員可以更容易地反饋SE Linux策略對伺服器產生的影響。這些工具將包含在即將於今年年底推出的Red Hat Enterprise Linux 新版本5中。

Walsh認為：“啟用SE Linux後出現的最嚴重的問題是，所有的訪問權都會突然間消失，系統管理員會變得不知所措，不知道該從哪裡著手進行修復。更糟糕的是，為了讓系統恢復執行，管理員很有可能採取一些不正確的措施，這樣做很有可能導致系統總體安全性變得更差。”

儘管NAS、Red Hat和其他一些開放原始碼開發人員在克服SE Linux缺陷方面遇到了很大的困難，但這種技術本身仍然不失為一種功能強大的安全工具，而它對於那些基於開放原始碼軟體的基礎設施來說，具有極為重要的意義。

Walsh指出：“問題在於，軟體中的廢程式碼太多。這些沒有價值的程式碼本身就是一個重大的安全問題。我們要做的就是鎖定記憶體，使駭客無法訪問記憶體並執行隨機程式碼。”