8. Безопасность
8. Безопасность
Дополнительно
Руководство по безопасности познакомит пользователей и системных администраторов с основами защиты рабочих станций и серверов от локального и удаленного взлома.
8.1. SSSD
В Red Hat Enterprise Linux 6 впервые входит SSSD (System Security Services Daemon), который включает набор служб для централизованного управления аутентификацией. Кэширование данных авторизации осуществляется локально, что позволит пользователям авторизоваться даже в случае сбоя соединения с сервером. SSSD поддерживает различные типы служб аутентификации, включая сервер каталогов Red Hat, Active Directory, OpenLDAP, 389, Kerberos и LDAP.
Дополнительно
Руководство по развертыванию содержит секцию с описанием установки и настройки SSSD.
8.2. SELinux
SELinux (Security-Enhanced Linux) добавляет возможности принудительного контроля доступа (MAC, Mandatory Access Control), которые в Red Hat Enterprise Linux 6 активны по умолчанию. Основным назначением инфраструктуры MAC является принудительное использование заданной администратором политики безопасности всеми процессами и файлами и принятие решений, исходя из соответствующих меток безопасности.
8.2.1. Контроль доступа
Обычно SELinux используется для контроля взаимодействия приложений с системой. SELinux в Red Hat Enterprise Linux 6 представляет целый набор правил управления доступом пользователей к системным компонентам.
8.2.2. «Песочница»
SELinux в Red Hat Enterprise Linux 6 впервые включает экспериментальное окружение для тестирования непроверенных программ и политики SELinux применительно к выполняемым приложениям.
8.2.3. XACE
Система X Window предоставляет основную инфраструктуру для отображения графического интерфейса пользователя в Red Hat Enterprise Linux 6. Спецификация XACE (X Access Control Extension) позволяет SELinux использовать проверки системы X Window, в частности, для управления обменом информации между объектами окон.
8.3. Резервные парольные фразы для зашифрованных накопителей
Red Hat Enterprise Linux позволяет зашифровать данные на дисках с целью защиты от несанкционированного доступа. При шифровании происходит преобразование данных в формат, для чтения которого требуется наличие специального ключа. Этот ключ создается в процессе установки и защищен парольной фразой.
Рисунок 7. Расшифровка данных
В случае утери парольной фразы ключ шифрования не сможет использоваться.
Red Hat Enterprise Linux 6 позволяет сохранить ключи шифрования и создать резервные парольные фразы, которые помогут восстановить зашифрованный том и корневое устройство даже в случае потери исходной парольной фразы.
8.4. sVirt
libvirt предоставляет API-интерфейс для управления и взаимодействия с подсистемой виртуализации Red Hat Enterprise Linux 6. В этом выпуске libvirt включает новый компонент sVirt, который при интеграции в SELinux обеспечивает механизмы защиты от несанкционированного доступа к виртуальным системам и их хостам.
8.5. Enterprise Security Client
ESC (Enterprise Security Client) предоставляет интерфейс для управления смарт-картами и маркерами доступа. Новые смарт-карты могут быть отформатированы и зарегистрированы (для них будут автоматически созданы новые ключи и запрошены сертификаты). Жизненным циклом смарт-карты можно управлять, обновляя сертификаты с истекшим сроком действия. Обычно ESC работает в комбинации с более масштабной подсистемой управления ключами — системой сертификатов Red Hat или Dogtag.