8. Безопасность

8. Безопасность

Дополнительно

Руководство по безопасности познакомит пользователей и системных администраторов с основами защиты рабочих станций и серверов от локального и удаленного взлома.

8.1. SSSD

В Red Hat Enterprise Linux 6 впервые входит SSSD (System Security Services Daemon), который включает набор служб для централизованного управления аутентификацией. Кэширование данных авторизации осуществляется локально, что позволит пользователям авторизоваться даже в случае сбоя соединения с сервером. SSSD поддерживает различные типы служб аутентификации, включая сервер каталогов Red Hat, Active Directory, OpenLDAP, 389, Kerberos и LDAP.

Дополнительно

Руководство по развертыванию содержит секцию с описанием установки и настройки SSSD.

8.2. SELinux

SELinux (Security-Enhanced Linux) добавляет возможности принудительного контроля доступа (MAC, Mandatory Access Control), которые в Red Hat Enterprise Linux 6 активны по умолчанию. Основным назначением инфраструктуры MAC является принудительное использование заданной администратором политики безопасности всеми процессами и файлами и принятие решений, исходя из соответствующих меток безопасности.

8.2.1. Контроль доступа

Обычно SELinux используется для контроля взаимодействия приложений с системой. SELinux в Red Hat Enterprise Linux 6 представляет целый набор правил управления доступом пользователей к системным компонентам.

8.2.2. «Песочница»

SELinux в Red Hat Enterprise Linux 6 впервые включает экспериментальное окружение для тестирования непроверенных программ и политики SELinux применительно к выполняемым приложениям.

8.2.3. XACE

Система X Window предоставляет основную инфраструктуру для отображения графического интерфейса пользователя в Red Hat Enterprise Linux 6. Спецификация XACE (X Access Control Extension) позволяет SELinux использовать проверки системы X Window, в частности, для управления обменом информации между объектами окон.

8.3. Резервные парольные фразы для зашифрованных накопителей

Red Hat Enterprise Linux позволяет зашифровать данные на дисках с целью защиты от несанкционированного доступа. При шифровании происходит преобразование данных в формат, для чтения которого требуется наличие специального ключа. Этот ключ создается в процессе установки и защищен парольной фразой.
Текстовая установка
Рисунок 7. Расшифровка данных

В случае утери парольной фразы ключ шифрования не сможет использоваться.
Red Hat Enterprise Linux 6 позволяет сохранить ключи шифрования и создать резервные парольные фразы, которые помогут восстановить зашифрованный том и корневое устройство даже в случае потери исходной парольной фразы.

8.4. sVirt

libvirt предоставляет API-интерфейс для управления и взаимодействия с подсистемой виртуализации Red Hat Enterprise Linux 6. В этом выпуске libvirt включает новый компонент sVirt, который при интеграции в SELinux обеспечивает механизмы защиты от несанкционированного доступа к виртуальным системам и их хостам.

8.5. Enterprise Security Client

ESC (Enterprise Security Client) предоставляет интерфейс для управления смарт-картами и маркерами доступа. Новые смарт-карты могут быть отформатированы и зарегистрированы (для них будут автоматически созданы новые ключи и запрошены сертификаты). Жизненным циклом смарт-карты можно управлять, обновляя сертификаты с истекшим сроком действия. Обычно ESC работает в комбинации с более масштабной подсистемой управления ключами — системой сертификатов Red Hat или Dogtag.