网络通信控制与虚拟化安全:SELinux 实战指南
1. 网络通信控制
在网络通信控制方面,存在顶层和底层控制之分。顶层控制在域级别处理,例如httpd_t;底层控制在对等级别处理,例如netlabel_peer_t。
1.1 使用旧风格控制
大多数 Linux 发行版启用了network_peer_control功能,这是 SELinux 子系统的一项增强功能,使用对等类来验证对等流量。不过,SELinux 策略可以选择回到之前的方法,即不再通过对等类控制对等流量,而是使用tcp_socket类进行通信。此时,tcp_socket类将用于对等域,并使用recvfrom权限。
可以通过 SELinux 文件系统查询network_peer_control功能的当前值:
# cat /sys/fs/selinux/policy_capabilities/network_peer_controls 1如果该值为 0,则之前提到的对等控制将通过tcp_socket类而不是对等类处理。需要注意的是,策略功能由 SELinux 策略本身硬编码,管理员无法控制。
1.2 标记 IPsec
在 IPsec 设置中有两个重要概念:
-
