安全協(xié)議與標(biāo)準(zhǔn)07c-SELinux

安全協(xié)議與標(biāo)準(zhǔn)linfb@2007,11SELinuxAccesscontrolMAC(Mandatoryaccesscontrol)DAC(Discretionaryaccesscontrol)SELinuxinkernel2.6安全操作系統(tǒng)傳輸安全系統(tǒng)安全端系統(tǒng)安全安全操作系統(tǒng)TCSEC/CCSELinux---FromNSASecurity-enhancedLinuxTeam"NSASecurity-enhancedLinuxisasetofpatchestotheLinuxkernelandsomeutilitiestoincorporateastrong,flexiblemandatoryaccesscontrol(MAC)architectureintothemajorsubsystemsofthekernel.Itprovidesamechanismtoenforcetheseparationofinformationbasedonconfidentialityandintegrityrequirements,whichallowsthreatsoftamperingandbypassingofapplicationsecuritymechanismstobeaddressedandenablestheconfinementofdamagethatcanbecausedbymaliciousorflawedapplications.Itincludesasetofsamplesecuritypolicyconfigurationfilesdesignedtomeetcommon,general-purposesecuritygoals."SELinux的直接來源Flask(FluxAdvancedSecurityKernel)

isanoperatingsystemsecurityarchitecturethatprovidesflexiblesupportforsecuritypolicies.ThearchitecturewasprototypedintheFlukeresearchoperatingsystem.Itisacoreframeworkinsecurity-focusedoperatingsystemssuchasNSA'sSecurity-EnhancedLinux(SELinux)andTrustedBSD.促成SELinux的其他相關(guān)項目NSA&SCC:DistributedTrustedMach

(DTMach),anoutgrowthoftheTMachprojectandtheLOCK

project.TheDTMachprojectwascontinuedintheDistributedTrustedOperatingSystem(DTOS)projectOthercontributorstotheSecurity-EnhancedLinuxsystemincludeNAILabs,SecureComputingCorporation,andMITRE.OSKit(),aframeworkandasetof34componentlibrariesorientedtooperatingsystems,togetherwithextensivedocumentation,byUtah.OSKitOSKIT是美國猶它大學(xué)計算機科學(xué)系FLUX研究組編寫的一套用于架構(gòu)操作系統(tǒng)內(nèi)核、服務(wù)器和其他OS級軟件的框架及模塊化的部件和庫程序。OSKIT的編寫者認為，操作系統(tǒng)中有很大一部分模塊是系統(tǒng)必須的，但并不是開發(fā)者所感興趣的，例如系統(tǒng)裝入模塊，各種標(biāo)準(zhǔn)驅(qū)動模塊等。使用OSKIT的目的就是使操作系統(tǒng)的開發(fā)者集中精力開發(fā)他們操作系統(tǒng)中有特色的，或者他們感興趣的部分，而不必考慮一些繁瑣而乏味的細節(jié)。為了達到這個目的，OSKit在設(shè)計時借用了COM的思想，把操作系統(tǒng)的各個部分設(shè)計成盡量獨立的COM模塊，以方便操作系統(tǒng)的開發(fā)者使用或替換。因此，當(dāng)開發(fā)人員使用這套工具時，可以把它當(dāng)作一個完整的操作系統(tǒng)來使用，也可以根據(jù)需要使用其中的一部分，它還可以作為一套動態(tài)鏈接庫，由操作系統(tǒng)及支持程序?qū)λM行調(diào)用。Subject/Object主體計算機中存在大量涉及安全的操作，凡是實施操作的作主體,如用戶或者進程等。客體被操作的對象稱為客體，如文件、設(shè)備、內(nèi)存等標(biāo)識與鑒別標(biāo)識是系統(tǒng)要確認訪問者的身份，如用戶名。鑒別是提供一種方法證實身份，如口令。安全策略(SecurityPolicy)描述用戶對安全方面要求，根據(jù)系統(tǒng)安全需求制定。Accesscontroltheabilitytopermitordenytheuseofsomethingbysomeone,includesauthentication,authorizationandaudit.DiscretionaryAccessControl–DAC 自主的anaccesspolicydeterminedbytheownerofanobject.Theownerdecideswhoisallowedtoaccesstheobjectandwhatprivilegestheyhave.AccesscontrolsmaybediscretionaryinACL-based,capability-based,orRole-basedaccesscontrolsystems.MandatoryAccessControl–MAC 強制的anaccesspolicydeterminedbythesystem,nottheowner.

commonlyusedforapplyingmandatoryaccesscontrol:Lattice-basedaccesscontrols,Rule-basedaccesscontrolsACL/ACMAccesscontrollist(ACL)alistofpermissionsattachedtoanobject.AccessControlMatrix(ACM)therightsofeachsubjectwithrespecttoeveryobjectinthesystem.MAC(mandatoryaccesscontrol)SUSELinux(nowsupportedbyNovell)andUbuntu7.10haveaddedaMACimplementationcalledAppArmor.Sun'sTrustedSolarisusesamandatoryandsystem-enforcedaccesscontrolmechanism(MAC),whereclearancesandlabelsareusedtoenforceasecuritypolicy.PrincipleofLeastPrivilege最小特權(quán)每一用戶和進程只擁有最小的必需訪問權(quán)的集合。這條原則限制了由于差錯事故或者惡意攻擊造成的破壞性影響。進程只在完成其任務(wù)所必需的那些權(quán)限組成的最小保護域內(nèi)執(zhí)行，當(dāng)進程的訪問需求發(fā)生變化時，進程就應(yīng)轉(zhuǎn)換其保護域。最小權(quán)限原則要求計算環(huán)境中的特定抽象層的每個模塊如進程、用戶或者計算機程序只能訪問當(dāng)下所必需的信息或者資源。賦予每一個合法動作最小的權(quán)限，就是為了保護數(shù)據(jù)以及功能避免受到錯誤或者惡意行為的破壞。實施最小特權(quán)把傳統(tǒng)的超級用戶劃分為安全管理員、系統(tǒng)操作員、系統(tǒng)管理員三種特權(quán)用戶，安全管理員行使諸如設(shè)定安全等級、管理審計信息等系統(tǒng)安全維護職能，系統(tǒng)操作員行使諸如磁盤數(shù)據(jù)備份、啟動和關(guān)閉系統(tǒng)等系統(tǒng)日常維護職能，系統(tǒng)管理員行使諸如創(chuàng)建和刪除用戶帳戶、處理記帳信息等系統(tǒng)管理職能。傳統(tǒng)的超級用戶不復(fù)存在。SELinuxSELinux是2.6版本的Linux內(nèi)核中提供的強制訪問控制(MAC)系統(tǒng)。對于目前可用的Linux安全模塊來說，SELinux是功能最全面，而且測試最充分的，它是在20年的MAC研究基礎(chǔ)上建立的。SELinux在類型強制服務(wù)器中合并了多級安全性或一種可選的多類策略，并采用了基于角色的訪問控制概念。

發(fā)行版中的SELinuxSELinux就緒的發(fā)行版，例如Fedora、RedHatEnterpriseLinux(RHEL)、Debian或Gentoo。它們都是在內(nèi)核中啟用SELinux的，并且提供一個可定制的安全策略，還提供很多用戶層的庫和工具，它們都可以使用SELinux的功能。SELinux工作機制每一個重要的內(nèi)核對象，比如每個文件系統(tǒng)對象和每個進程，都有一個關(guān)聯(lián)到它們的“安全上下文（securitycontext）”。安全上下文可以基于軍事安全層級（如不保密的、保密的和高度保密的）、基于用戶角色、基于應(yīng)用程序（這樣，一個Web服務(wù)器可以擁有它自己的安全上下文），或者基于很多其他內(nèi)容。當(dāng)它執(zhí)行另一個程序時，進程的安全上下文可以改變。甚至，取決于調(diào)用它的程序，一個給定的程序可以在不同的安全上下文中運行，即使是同一個用戶啟動了所有程序。管理員就可以創(chuàng)建一個指定哪些特權(quán)授與哪個安全上下文的“安全策略（securitypolicy）”。當(dāng)發(fā)生系統(tǒng)調(diào)用時，SELinux去檢查是否所有需要的特權(quán)都已經(jīng)授與了—如果沒有，它就拒絕那個請求。例如要創(chuàng)建一個文件，當(dāng)前進程的安全上下文必須對父目錄的安全上下文的“搜索（search）”和“add_name”特權(quán)，而且它需要有對于（要創(chuàng)建的）文件的安全上下文的“創(chuàng)建（create）”特權(quán)。同樣，那個文件的安全上下文必須有特權(quán)與文件系統(tǒng)“關(guān)聯(lián)（associated）”（所以，舉例來說，“高度保密”的文件不能寫到一個“不保密”的磁盤）。還有用于套接字、網(wǎng)絡(luò)接口、主機和端口的網(wǎng)絡(luò)訪問控制。如果安全策略為那些全部授與了權(quán)限，那么請求就會被SELinux所允許。否則，就會被禁止。普通的Linux與SELinux相比較普通的Linux系統(tǒng)的安全性是依賴內(nèi)核的，這個依賴是通過setuid/setgid產(chǎn)生的。在傳統(tǒng)的安全機制下，暴露了一些應(yīng)用授權(quán)問題、配置問題或進程運行造成整個系統(tǒng)的安全問題。這些問題在現(xiàn)在的操作系統(tǒng)中都存在，這是由于他們的復(fù)雜性和與其它程序的互用性造成的。SELinux的權(quán)限檢查完全獨立于類UNIX系統(tǒng)中的通常的權(quán)限位，用戶必須既有標(biāo)準(zhǔn)的類UNIX權(quán)限，又有SELinux權(quán)限才能去做一些事情。SELinux檢查可以做很多對傳統(tǒng)的類UNIX權(quán)限來說難以完成的事情。使用SELinux，您可以方便地創(chuàng)建一個只能運行特定程序并且只能在特定的上下文中寫文件的Web服務(wù)器。配置策略SELinux只單單依賴于系統(tǒng)的內(nèi)核和安全配置政策。一旦你正確配置了系統(tǒng)，不正常的應(yīng)用程序配置或錯誤將只返回錯誤給用戶的程序和它的系統(tǒng)后臺程序。其它用戶程序的安全性和他們的后臺程序仍然可以正常運行，并保持著它們的安全系統(tǒng)結(jié)構(gòu)。單一程序的配置錯誤不會造成整個系統(tǒng)的崩潰。如果有一個好的安全策略的話，即使一個攻擊者攻入了Web服務(wù)器并成為root，攻擊者也不會獲得整個系統(tǒng)的控制權(quán)。為了使SELinux有效，您需要有一個好的安全策略來由SELinux執(zhí)行。大部分用戶將需要一個他們?nèi)菀仔薷牡膶嵱玫某跏疾呗浴ELinux的策略主要分為兩種一個是目標(biāo)(targeted)策略，針對部分系統(tǒng)網(wǎng)絡(luò)服務(wù)和進程執(zhí)行SELinux策略。(byredhat)針對各種常用服務(wù)，如apache、sendmail等另一個是嚴格(strict)策略，是執(zhí)行全局的NSA默認策略。(bynsa)TE（TypeEnforcement）對于進程只付與最小的權(quán)限TE概念在SELinux里非常的重要。它的特點是對所有的文件都賦予一個叫type的文件類型標(biāo)簽，對于所有的進程也賦予各自的一個叫domain的標(biāo)簽。Domain標(biāo)簽?zāi)軌驁?zhí)行的操作也是由accessvector在策略里定好的。TEInordertograntaccesstosomething,anallowrulemustbecreated,suchas:

allowuser_tbin_t:file{readexecutegetattr};Thismeansaprocesswithadomaintypeofuser_tcanread,execute,orgetattributesforafileobjectwithatypeofbin_t,thereisnosignificanceinthe“_t”portion.Thisrulemightbeinapolicytoallowuserstoexecuteshellprogramssuchasthebashshell(/bin/bash).Domain遷移防止權(quán)限升級在用戶環(huán)境里運行點對點下載軟件azureus，當(dāng)前的domain是fu_t?？紤]到安全問題，打算讓其在azureus_t里運行。有了domain遷移，就可以讓azureus在指定的azureus_t里運行，它不會影響到你的fu_t。下面是domain遷移指示的例子： domain_auto_trans(fu_t,azureus_exec_t,azureus_t)：當(dāng)在fu_tdomain里，實行了被標(biāo)為azureus_exec_t的文件時，domain從fu_t遷移到azureus_t。RBAC（rolebaseaccesscontrol)對于用戶只付與最小的權(quán)限對于用戶來說，被劃分成一些ROLE，即使是ROOT用戶，你要是不在sysadm_r里，也還是不能實行sysadm_t管理操作的。因為，那些ROLE可以執(zhí)行那些domain也是在策略里設(shè)定的。ROLE也是可以遷移的，但是也只能安策略規(guī)定的遷移。實現(xiàn)的難度實際上，基本上原來的運用軟件沒有必要修改就能在它上面運行。真正做了特別修改的RPM包只要50多個。像文件系統(tǒng)EXT3都是經(jīng)過了擴展。對于一些原有的命令也進行了擴展，另外還增加了一些新的命令。（什么時候的事?）Securityoptionsinconfig-2.6.21-1.3194.fc7CONFIG_KEYS=yCONFIG_KEYS_DEBUG_PROC_KEYS=yCONFIG_SECURITY=yCONFIG_SECURITY_NETWORK=yCONFIG_SECURITY_NETWORK_XFRM=yCONFIG_SECURITY_CAPABILITIES=y#CONFIG_SECURITY_ROOTPLUGisnotsetCONFIG_SECURITY_SELINUX=yCONFIG_SECURITY_SELINUX_BOOTPARAM=yCONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1CONFIG_SECURITY_SELINUX_DISABLE=yCONFIG_SECURITY_SELINUX_DEVELOP=yCONFIG_SECURITY_SELINUX_AVC_STATS=yCONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1#CONFIG_SECURITY_SELINUX_ENABLE_SECMARK_DEFAULTisnotset#CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAXisnotset/etc/selinux/config#cat/etc/selinux/config#ThisfilecontrolsthestateofSELinuxonthesystem.#SELINUX=cantakeoneofthesethreevalues:#enforcing-SELinuxsecuritypolicyisenforced.#permissive-SELinuxp