Linux安全新高度 安全增強Linux (SELinux) 剖析

class="152527">

簡介

公共網絡(比如 Internet)充滿著危險。只要將電腦連接到 Internet(即使只連接很短的時間)，您就會感受到這一點。攻擊者可以利用不安全性來獲得對一個系統的訪問，獲得對信息的未授權訪問，或者對一台計算機進行改造，以利用它發送垃圾郵件或攻擊其他高端系統(使用 SYN 泛洪攻擊，一種分布式拒絕服務攻擊)。

　　分布式拒絕服務攻擊(DDoS)通過 Internet 上的多個系統來實現(所以也稱為僵屍電腦)，這些系統消耗目標系統上的資源，(利用 TCP 的三向握手)使其不能被合法的用戶訪問。一種帶有 cookie 的四向握手協議(Stream Control Transmission Protocol [SCTP])可以防御這種攻擊。

　　SELinux 的起源

　　SELinux 是一個面向政府和行業的產品，由 NSA、Network Associates、Tresys 以及其他組織設計和開發。盡管 NSA 將其作為一個補丁集引入，但從 2.6 版開始，它就被加入到 Linux 內核中。

　　GNU/Linux 非常安全，但它也非常動態：所做的更改會為操作系統帶來新的漏洞，這些漏洞可能被攻擊者利用，盡管人們都非常關心阻止未授權訪問，但是發生入侵後會發生什麼呢?

　　本文將探究 SELinux 背後的思想及其基本架構。關於SELinux 的完整描述涉及一整本書的內容，所以本文只關注其基本原理，使您了解 SELinux 的重要性及其實現過程。

　　訪問控制方法

　　大多數操作系統使用訪問控制來判斷一個實體(用戶或程序)是否能夠訪問給定資源。基於 UNIX® 的系統使用一種自主訪問控制(discretionary access control，DAC)的形式。此方法通常根據對象所屬的分組來限制對對象的訪問。例如，GNU/Linux 中的文件有一個所有者、一個分組和一個權限集。權限定義誰可以訪問給定文件、誰可以讀取它、誰可以向其寫入，以及誰可以執行它。這些權限被劃分到三個用戶集中，分別表示用戶(文件所有者)、分組(一個用戶組的所有成員)和其他(既不是文件所有者，又不是該分組的成員的所有用戶)。

　　很多這樣的訪問控制都會帶來一個問題，因為所利用的程序能夠繼承用戶的訪問控制。這樣，該程序就可以在用戶的訪問層進行操作。與通過這種方式定義約束相比，使用最小特權原則 更安全：程序只能執行完成任務所需的操作。例如，如果一個程序用於響應 socket 請求，但不需要訪問文件系統，那麼該程序應該能夠監聽給定的 socket，但是不能訪問文件系統。通過這種方式，如果該程序被攻擊者利用，其訪問權限顯然是最小的。這種控制類型稱為強制訪問控制(MAC)。

　　另一種控制訪問的方法是基於角色的訪問控制(RBAC)。在 RBAC 中，權限是根據安全系統所授予的角色來提供的。角色的概念與傳統的分組概念不同，因為一個分組代表一個或多個用戶。一個角色可以代表多個用戶，但它也代表一個用戶集可以執行的權限。

　　SELinux 將 MAC 和 RBAC 都添加到了 GNU/Linux 操作系統中。下一節將探討 SELinux 實現，以及如何將安全增強透明地添加到 Linux 內核中。

　　Linux 安全實現

　　在早期的 SELinux 中，它還是一個補丁集，它提供了自己的安全性框架。這存在著一些問題，因為它將 GNU/Linux 限制到一個單獨的訪問控制架構。Linux 內核繼承了一種通用框架，將策略從實現中分離了出來，而不是采用單一的方法。該解決方案就是 Linux 安全模塊(Linux Security Module，LSM)框架。LSM 提供了一種通用的安全框架，允許將安全模型實現為可載入內核模塊(參見圖 1)。

　　圖 1. SELinux 將安全策略和實施分離

[1][2];[3];下一頁