安全增強(qiáng)Linux(Security Enhanced Linux)，也就是SELINUX的推出被稱為是IT管理者們確保Linux系統(tǒng)安全和平穩(wěn)運(yùn)行的一種可自由支配的強(qiáng)大工具。SELINUX是由美國國家安全局(NAS)開發(fā)的強(qiáng)制訪問控制的實現(xiàn)，目前，SELINUX已經(jīng)被整合到大部分主流Linux版本之中。

“SELINUX可以阻止偷竊行為，可以阻止垃圾信息傳播并防止“蠕蟲”攻擊網(wǎng)站。”Red Hat公司的首席軟件工程師Dan Walsh說，他同時也是SELINUX工程的一名正式參與者。據(jù)Walsh所說，IT管理者們應(yīng)該讓SELINUX在數(shù)據(jù)中心的方方面面隨時都處于打開狀態(tài)。

問題是，如今許多用戶都讓SELINUX處于關(guān)閉狀態(tài)(SELINUX已經(jīng)內(nèi)置到Red Hat 企業(yè)版Linux系統(tǒng)當(dāng)中)。

SELINUX開放源碼安全技術(shù)在其確保高度安全方面被廣泛認(rèn)可的同時，同時也被認(rèn)為過于復(fù)雜。RHEL 5(Red Hat 企業(yè)版Linux 5系統(tǒng))包含了大量的新工具和管理特征以解決這一問題，但這是否已經(jīng)太晚了呢?

SELINUX: 事實與認(rèn)知

“SELINUX最大的問題在于人們對它的認(rèn)知，”位于加利福尼亞的Saugus聯(lián)盟學(xué)區(qū)的信息服務(wù)與技術(shù)主管Jim Klein說，“它因為早期缺少配置工具和故障排除工具而惡名在先，這正是人們選擇關(guān)閉它的原因。”

Klein說，對于SELINUX倡導(dǎo)者來說不幸的是，當(dāng)管理者為系統(tǒng)檢查故障時，第一個問題往往是“SELINUX是打開的嗎?”他還說，在他的數(shù)據(jù)中心SELINUX是關(guān)閉的，而且除非地區(qū)轉(zhuǎn)向使用RHEL5的計劃完成，他是不打算讓它恢復(fù)活動狀態(tài)的。

盡管如此，Red Hat公司的Walsh還是說SELINUX的“復(fù)雜性問題”會逐漸得到解決。在San Diego舉行的Red Hat年度峰會中，Walsh表示他最近分解了SELINUX，目前應(yīng)用安全技術(shù)在Red Hat企業(yè)版Linux5系統(tǒng)中是默認(rèn)打開的。RHEL4中也是包含SELINUX的，但只有RHEL5出現(xiàn)以后，Walsh和其他SELINUX專家才可以放心宣稱“讓SELINUX處處打開”。

“RHEL4像是該項技術(shù)的范例，”Walsh說，“我們將其劃分為一定數(shù)量的域，或者說是15個可由應(yīng)用程序訪問的目標(biāo)程序組。”

然而，在RHEL5之中目標(biāo)程序組達(dá)到了200個。Walsh又一次重申，“RHEL5的目標(biāo)是讓SELINUX無處不開。”

SELINUX: 復(fù)雜,但故障排解器可以提供幫助

身為作家和SELINUX專家的Frank Meyer對SELINUX的了解程度可以超越大多數(shù)人。

他說：“我并不想譴責(zé)專門提出‘復(fù)雜性’問題的人。但這種感知的產(chǎn)生是因為SELINUX具有保護(hù)Linux內(nèi)核提供的任何事務(wù)的能力，而Linux內(nèi)核本身就很復(fù)雜。”

依Meyer看來，當(dāng)用戶聲稱SELINUX因為太過復(fù)雜而不能有效配置時，就相當(dāng)于在聲稱他們不能應(yīng)用Linux內(nèi)核是因為他們不知道該如何寫一個設(shè)備驅(qū)動程序。“從邏輯上來說，這是沒有意義的。”他說。

為了回應(yīng)這種感知，Red Hat已經(jīng)在RHEL5中引入了SELINUX故障排解器(Troubleshooter)，故障排解器(Troubleshooter)也被稱為故障排解集合(settroubleshoot)，是一個為存取向量高速緩存(AVC)消息監(jiān)視稽核記錄文件的工具。

根據(jù)Fedora項目網(wǎng)站所言，用戶、系統(tǒng)管理員和開發(fā)者經(jīng)常遇到AVC拒絕的沖突。Fedora項目網(wǎng)站是開展大部分SELINUX與Red HatLinux構(gòu)架測試的地方。當(dāng)SELINUX經(jīng)過充分調(diào)試和合理配置之后，AVC拒絕只會由實際的安全性入侵觸發(fā)。然而，由于SELINUX仍然是新技術(shù)，策略尚處于開發(fā)狀態(tài)，因此大部分的AVC拒絕并不是由實際的安全性入侵引起的。此外，用戶尚處于學(xué)習(xí)配置SELINUX的過程中，也是AVC拒絕發(fā)生的一個原因。

目前，當(dāng)AVC拒絕發(fā)生時，故障排解器就會運(yùn)行SELINUX插件數(shù)據(jù)庫來尋找匹配，并向用戶發(fā)送一條包含問題描述和建議方案的消息。像Meyer和Walsh這樣的行業(yè)觀察者認(rèn)為，這一工具對于幫助用戶區(qū)分真正問題和虛假警報大有幫助，而區(qū)分真正問題和虛假警報正是阻礙SELINUX在IT管理者中應(yīng)用的主要原因。

Klein說，故障排解器是一項受歡迎的附加工具，但對幫助解決SELINUX的認(rèn)知問題來說可能出現(xiàn)得太晚了。他說，故障排解器及其同類是“管理者們認(rèn)真考慮是否重新啟用SELINUX的出發(fā)點，”但是，“困難在于說服那些已經(jīng)把SELINUX看作‘所有問題根源’的人員不要在問題出現(xiàn)時就簡單地把它關(guān)閉。”

Klein說，至今為止，Saugus已經(jīng)將大部分服務(wù)器上的SELINUX關(guān)閉。在等待SELINUX工具和策略的成熟化的過程中，以傳統(tǒng)設(shè)置作為保證應(yīng)用程序安全的默認(rèn)設(shè)置。