Linux安全模塊之傾情講解
linux經過長時間的發展,很多用戶都很了解linux操作系統,這里講解Linux安全模塊,搜集了大量的資料供大家查看,希望大家有不少收獲。
Linux安全模塊(LSM)是Linux內核的一個輕量級通用訪問控制框架。本文介紹Linux安全模塊(LSM)的相關背景,設計思想,實現方法;并說明如何使用Linux安全模塊(LSM)來增強Linux系統的安全性:一方面是供內核開發人員和安全研究人員使用的接口,另一方面是供普通用戶使用的模塊,以及具體的使用方法。如果讀者具有Linux內核和安全的相關背景知識,可以有助于對本文的理解;如果不具有,可以先閱讀本文最后參考資料中列出的IBM dW上的三篇文章。
1.相關背景介紹:為什么和是什么
近年來Linux系統由于其出色的性能和穩定性,開放源代碼特性帶來的靈活性和可擴展性,以及較低廉的成本,而受到計算機工業界的廣泛關注和應用。但在安全性方面,Linux內核只提供了經典的UNIX自主訪問控制(root用戶,用戶ID,模式位安全機制),以及部分的支持了POSIX.1e 標準草案中的capabilities安全機制,這對于Linux系統的安全性是不足夠的,影響了Linux系統的進一步發展和更廣泛的應用。
有很多安全訪問控制模型和框架已經被研究和開發出來,用以增強Linux系統的安全性,比較知名的有安全增強Linux(SELinux),域和類型增強(DTE),以及Linux入侵檢測系統(LIDS)等等。但是由于沒有一個系統能夠獲得統治性的地位而進入Linux內核成為標準;并且這些系統都大多以各種不同的內核補丁的形式提供,使用這些系統需要有編譯和定制內核的能力,對于沒有內核開發經驗的普通用戶,獲得并使用這些系統是有難度的。在2001年的Linux內核峰會上,美國國家安全局(NSA)介紹了他們關于安全增強Linux(SELinux)的工作,這是一個靈活的訪問控制體系 Flask在Linux中的實現,當時Linux內核的創始人Linus Torvalds同意Linux內核確實需要一個通用的安全訪問控制框架,但他指出最好是通過可加載內核模塊的方法,這樣可以支持現存的各種不同的安全訪問控制系統。因此,Linux安全模塊(LSM)應運而生。
Linux安全模塊(LSM)是Linux內核的一個輕量級通用訪問控制框架。它使得各種不同的安全訪問控制模型能夠以Linux可加載內核模塊的形式實現出來,用戶可以根據其需求選擇適合的安全模塊加載到Linux內核中,從而大大提高了Linux安全訪問控制機制的靈活性和易用性。目前已經有很多著名的增強訪問控制系統移植到Linux安全模塊(LSM)上實現,包括POSIX.1e capabilities,安全增強Linux(SELinux),域和類型增強(DTE),以及Linux入侵檢測系統(LIDS)等等。雖然目前 Linux安全模塊(LSM)仍然是作為一個Linux內核補丁的形式提供,但是其同時提供Linux 2.4穩定版本的系列和Linux 2.5開發版本的系列,并且很有希望進入Linux 2.6穩定版本,進而實現其目標:被Linux內核接受成為Linux內核安全機制的標準,在各個Linux發行版中提供給用戶使用。
2.設計思想介紹:得讓兩方面都滿意
Linux安全模塊(LSM)的設計必須盡量滿足兩方面人的要求:讓不需要它的人盡可能少的因此得到麻煩;同時讓需要它的人因此得到有用和高效的功能。
以Linus Torvalds為代表的內核開發人員對Linux安全模塊(LSM)提出了三點要求:
真正的通用,當使用一個不同的安全模型的時候,只需要加載一個不同的內核模塊
概念上簡單,對Linux內核影響最小,高效,并且
能夠支持現存的POSIX.1e capabilities邏輯,作為一個可選的安全模塊
另一方面,各種不同的Linux安全增強系統對Linux安全模塊(LSM)提出的要求是:能夠允許他們以可加載內核模塊的形式重新實現其安全功能,并且不會在安全性方面帶來明顯的損失,也不會帶來額外的系統開銷。
為了滿足這些設計目標,Linux安全模塊(LSM)采用了通過在內核源代碼中放置鉤子的方法,來仲裁對內核內部對象進行的訪問,這些對象有:任務,inode結點,打開的文件等等。用戶進程執行系統調用,首先游歷Linux內核原有的邏輯找到并分配資源,進行錯誤檢查,并經過經典的UNIX自主訪問控制,恰好就在Linux內核試圖對內部對象進行訪問之前,一個Linux安全模塊(LSM)的鉤子對安全模塊所必須提供的函數進行一個調用,從而對安全模塊提出這樣的問題"是否允許訪問執行?",安全模塊根據其安全策略進行決策,作出回答:允許,或者拒絕進而返回一個錯誤。
另一方面,為了滿足大多數現存Linux安全增強系統的需要,Linux安全模塊(LSM)采取了簡化設計的決策。Linux安全模塊 (LSM)現在主要支持大多數現存安全增強系統的核心功能:訪問控制;而對一些安全增強系統要求的其他安全功能,比如安全審計,只提供了的少量的支持。 Linux安全模塊(LSM)現在主要支持"限制型"的訪問控制決策:當Linux內核給予訪問權限時,Linux安全模塊(LSM)可能會拒絕,而當 Linux內核拒絕訪問時,就直接跳過Linux安全模塊(LSM);而對于相反的"允許型"的訪問控制決策只提供了少量的支持。對于模塊功能合成,Linux安全模塊(LSM)允許模塊堆棧,但是把主要的工作留給了模塊自身:由第一個加載的模塊進行模塊功能合成的最終決策。所有這些設計決策可能暫時影響了Linux安全模塊(LSM)的功能和靈活性,但是大大降低了Linux安全模塊(LSM)實現的復雜性,減少了對Linux內核的修改和影響,使得其進入Linux內核成為安全機制標準的可能性大大提高;等成為標準后,可以改變決策,增加功能和靈活性。
3.實現方法介紹:對Linux內核的修改
Linux安全模塊(LSM)目前作為一個Linux內核補丁的形式實現。其本身不提供任何具體的安全策略,而是提供了一個通用的基礎體系給安全模塊,由安全模塊來實現具體的安全策略。其主要在五個方面對Linux內核進行了修改:
◆在特定的內核數據結構中加入了安全域
◆在內核源代碼中不同的關鍵點插入了對安全鉤子函數的調用
◆加入了一個通用的安全系統調用
◆提供了函數允許內核模塊注冊為安全模塊或者注銷
◆將capabilities邏輯的大部分移植為一個可選的安全模塊
下面對這五個方面的修改逐個做簡要的介紹。安全域是一個void*類型的指針,它使得安全模塊把安全信息和內核內部對象聯系起來。下面列出被修改加入了安全域的內核數據結構,以及各自所代表的內核內部對象:
◆task_struct結構:代表任務(進程)
◆linux_binprm結構:代表程序
◆super_block結構:代表文件系統
◆inode結構:代表管道,文件,或者Socket套接字
◆file結構:代表打開的文件
◆sk_buff結構:代表網絡緩沖區(包)
◆net_device結構:代表網絡設備
◆kern_ipc_perm結構:代表Semaphore信號,共享內存段,或者消息隊列
◆msg_msg:代表單個的消息
另外,msg_msg結構,msg_queue結構,shmid_kernel結構被移到include/linux/msg.h和include/linux/shm.h這兩個頭文件中,使得安全模塊可以使用這些定義。
Linux安全模塊(LSM)提供了兩類對安全鉤子函數的調用:一類管理內核對象的安全域,另一類仲裁對這些內核對象的訪問。對安全鉤子函數的調用通過鉤子來實現,鉤子是全局表security_ops中的函數指針,這個全局表的類型是security_operations結構,這個結構定義在include/linux/security.h這個頭文件中,這個結構中包含了按照內核對象或內核子系統分組的鉤子組成的子結構,以及一些用于系統操作的頂層鉤子。在內核源代碼中很容易找到對鉤子函數的調用:其前綴是security_ops->。對鉤子函數的詳細說明留到后面。
Linux安全模塊(LSM)提供了一個通用的安全系統調用,允許安全模塊為安全相關的應用編寫新的系統調用,其風格類似于原有的Linux系統調用socketcall(),是一個多路的系統調用。這個系統調用為security(),其參數為(unsigned int id, unsigned int call, unsigned long *args),其中id代表模塊描述符,call代表調用描述符,args代表參數列表。這個系統調用缺省的提供了一個sys_security()入口函數:其簡單的以參數調用sys_security()鉤子函數。如果安全模塊不提供新的系統調用,就可以定義返回-ENOSYS的 sys_security()鉤子函數,但是大多數安全模塊都可以自己定義這個系統調用的實現。
在內核引導的過程中,Linux安全模塊(LSM)框架被初始化為一系列的虛擬鉤子函數,以實現傳統的UNIX超級用戶機制。當加載一個安全模塊時,必須使用register_security()函數向Linux安全模塊(LSM)框架注冊這個安全模塊:這個函數將設置全局表 security_ops,使其指向這個安全模塊的鉤子函數指針,從而使內核向這個安全模塊詢問訪問控制決策。一旦一個安全模塊被加載,就成為系統的安全策略決策中心,而不會被后面的register_security()函數覆蓋,直到這個安全模塊被使用unregister_security()函數向框架注銷:這簡單的將鉤子函數替換為缺省值,系統回到UNIX超級用戶機制。另外,Linux安全模塊(LSM)框架還提供了函數 mod_reg_security()和函數mod_unreg_security(),使其后的安全模塊可以向已經第一個注冊的主模塊注冊和注銷,但其策略實現由主模塊決定:是提供某種策略來實現模塊堆棧從而支持模塊功能合成,還是簡單的返回錯誤值以忽略其后的安全模塊。這些函數都提供在內核源代碼文件 security/security.c中。
【編輯推薦】
