SELinux

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 1. juni 2018; checks kræver 9 redigeringer .

SELinux
SELinux Administration GUI på Fedora 8
Type	Sikkerhed
Udvikler	rød hat
Skrevet i	Xi
Operativ system	Linux -kernekomponent
Første udgave	1998
nyeste version	3.4 ( 18. maj 2022 ) [2]
frigivelseskandidat	2.9-rc2 ( 28. februar 2019 ) [1]
Licens	GNU GPL
Internet side	selinuxproject.org
Mediefiler på Wikimedia Commons

SELinux ( engelsk  Security-Enhanced Linux - Linux med forbedret sikkerhed) er en implementering af et tvungen adgangskontrolsystem , der kan arbejde parallelt med et klassisk selektivt adgangskontrolsystem .

Kort beskrivelse

Forbliver i et selektivt adgangskontrolsystem , har operativsystemet en grundlæggende begrænsning med hensyn til at dele procesadgang til ressourcer - adgang til ressourcer er baseret på brugeradgangsrettigheder. Det er klassiske rettigheder rwxpå tre niveauer - ejer, ejergruppe m.fl.

I SELinux bestemmes adgangsrettigheder af systemet selv ved hjælp af specielt definerede politikker. Politikker fungerer på systemopkaldsniveau og håndhæves af kernen selv (men kan også implementeres på applikationsniveau). SELinux opererer efter den klassiske Linux sikkerhedsmodel. Med andre ord kan du ikke tillade gennem SELinux, hvad der er forbudt gennem bruger- eller gruppetilladelser. Politikker er beskrevet ved hjælp af et særligt fleksibelt sprog til beskrivelse af adgangsregler. I de fleste tilfælde er SELinux regler "gennemsigtige" for applikationer, og der kræves ingen ændringer. Nogle distributioner inkluderer out-of-the-box politikker, hvor rettigheder kan bestemmes baseret på et match mellem proces (emne) og fil (objekt) typer - dette er hovedmekanismen i SELinux. To andre former for adgangskontrol er rollebaseret adgang og sikkerhedsbaseret adgang. For eksempel " DSP ", "hemmeligt", "tophemmeligt", " OV ".

Den nemmeste politiktype at arbejde med og vedligeholde er den såkaldte "målrettede" politik udviklet af Fedora -projektet . Politikken beskriver mere end 200 processer, der kan køre på operativsystemet. Alt, hvad der ikke er beskrevet af "mål"-politikken, udføres i domænet (med type) unconfined_t. Processer, der kører i dette domæne, er ikke beskyttet af SELinux. Således vil alle tredjeparts brugerapplikationer fungere uden problemer i et system med en "målrettet" politik inden for de klassiske tilladelser for et selektivt adgangskontrolsystem.

Ud over den "målrettede" politik inkluderer nogle distributioner en politik med en lagdelt sikkerhedsmodel (der understøtter Bell-LaPadula-modellen ).

Den tredje politikmulighed er "streng". Her gælder princippet "hvad der ikke er tilladt er forbudt" ( princippet om mindste rettigheder ). Politikken er baseret på Tresys referencepolitik .

SELinux blev udviklet af US National Security Agency , og derefter blev dens kildekode gjort tilgængelig til download.

Originaltekst  (engelsk)[ Visskjule] Fra NSA Security-enhanced Linux Team :

"NSA-sikkerhedsforbedret Linux er et sæt patches til Linux -kernen og nogle hjælpeprogrammer til at inkorporere en stærk, fleksibel obligatorisk adgangskontrol- arkitektur (MAC) i kernens store undersystemer. Det giver en mekanisme til at håndhæve adskillelse af information baseret på fortroligheds- og integritetskrav, som gør det muligt at håndtere trusler om manipulation og omgåelse af applikationssikkerhedsmekanismer og muliggør indespærring af skader, der kan være forårsaget af ondsindede eller fejlbehæftede applikationer. Det inkluderer et sæt eksempler på sikkerhedspolitikkonfigurationsfiler designet til at opfylde almindelige sikkerhedsmål til generelle formål."

SELinux er inkluderet i Linux-kernen (siden version 2.6).

Desuden kræver SELinux modificerede versioner af nogle hjælpeprogrammer ( ps , ls og andre), der understøtter nye kernefunktioner og understøttelse fra filsystemet.

Grundlæggende begreber

• Et domæne er et sæt handlinger, som én proces kan udføre. Dybest set er det de handlinger, som en proces skal bruge for at udføre en specifik opgave.

• En rolle er en samling af flere domæner.

• En sikkerhedskontekst er samlingen af ​​alle attributter, der er forbundet med objekter og emner.

• En sikkerhedspolitik er et sæt foruddefinerede regler, der styrer interaktionen mellem roller og domæner.

Oversigt over LSM

LSM ( engelsk  Linux Security Modules - Linux security modules) er implementering i form af indlæsbare kernemoduler. Primært bruges LSM'er til at understøtte adgangskontrol. I sig selv giver LSM'er ikke systemet nogen ekstra sikkerhed, men tjener kun som en slags grænseflade til at understøtte det. LSM-systemet giver implementering af interceptor-funktioner, som er lagret i en sikkerhedspolitisk struktur, der dækker de vigtigste operationer, der skal beskyttes. Adgangskontrol til systemet udføres takket være de konfigurerede politikker.

Adgangskontrolmetoder

De fleste operativsystemer har adgangskontrolfunktioner og -metoder, der igen bestemmer, om en enhed på operativsystemniveau (bruger eller program) kan få adgang til en bestemt ressource. Følgende adgangskontrolmetoder bruges:

• Diskretionær adgangskontrol ( DAC) .  Denne metode implementerer begrænsningen af ​​adgang til objekter baseret på de grupper, som de tilhører. På Linux er denne metode baseret på standard filadgangskontrolmodel. Adgangsrettigheder er defineret for følgende kategorier: bruger (ejer af filen), gruppe (alle brugere, der er medlemmer af gruppen), andre (alle brugere, der hverken er ejer af filen eller medlemmer af gruppen). Desuden tildeles følgende rettigheder til hver af grupperne: rettighederne til at skrive, læse og udføre.

• Obligatorisk adgangskontrol ( MAC) .  Hovedessensen af ​​denne metode er at etablere visse adgangsrettigheder for subjektet til bestemte objekter. OS implementerer følgende: Programmet har kun de funktioner, det skal bruge for at udføre sine opgaver, og intet mere. Denne metode har en fordel i forhold til den foregående; hvis der findes en sårbarhed i et program, vil dets adgang være meget begrænset.

• Rollebaseret adgangskontrol ( RBAC ) .  Adgangsrettigheder implementeres i form af roller udstedt af sikkerhedssystemet. Roller repræsenterer visse beføjelser til at udføre specifikke handlinger af en gruppe af subjekter på objekter i systemet. Denne politik er en forbedring af diskretionær adgangskontrol.

Intern arkitektur af SELinux

Allerede i begyndelsen af ​​dets udseende blev SELinux implementeret som en patch. I dette tilfælde var det ikke let at konfigurere sikkerhedspolitikken. Med fremkomsten af ​​LSM-mekanismer er sikkerhedskonfiguration og -styring blevet meget forenklet (politik- og sikkerhedshåndhævelsesmekanismer er blevet adskilt), SELinux er blevet implementeret som kerne-plugins. Før du får adgang til de interne objekter i operativsystemet, ændres kernekoden. Dette er implementeret ved hjælp af specielle funktioner ( system call interceptors ) , de såkaldte hook-funktioner .  Interceptor-funktioner er gemt i en eller anden datastruktur, deres formål er at udføre visse sikkerhedshandlinger baseret på en på forhånd fastlagt politik. Selve modulet indeholder seks hovedkomponenter: en sikkerhedsserver; adgang vektor cache ( eng. Access Vector Cache , AVC); netværksgrænseflade tabeller; netværksmeddelelsessignalkode; dets virtuelle filsystem (selinuxfs) og implementeringen af ​​interceptor-funktioner.  

• Adgangsvektorcachen bruges til at cache beregnede resultater (lagring af out-of-the-box adgangskontrolbeslutninger), der modtages fra sikkerhedsserveren. Dette er nødvendigt for at minimere ydelsesomkostningerne for SELinux sikkerhedsmekanismer. Access-vektor-cache-grænsefladen for sikkerhedsserveren er defineret i header-filen include/avc_ss.h.

• Netværksgrænsefladetabellen kortlægger netværksenheder til sikkerhedskontekster. Understøttelse af separate tabeller er påkrævet, fordi netværksenhedssikkerhedsfeltet er blevet fjernet fra designet. Netværksenheder føjes til tabellen, når de første gang ses af interceptorfunktioner (spottet af dem) og fjernes fra den, når enheden er konfigureret, eller sikkerhedspolitikken genindlæses på grund af omkonfiguration. Dette er muligt takket være tilbagekaldsfunktioner, der logger enhedskonfigurationsændringer og genindlæsning af sikkerhedspolitik. Koden til netværksinterfacetabel findes i netif.c.

• Netværksmeddelelseshændelseskoden gør det muligt for SELinux-modulet at underrette operativsystemets processer, når en sikkerhedspolitik er blevet genindlæst. Disse meddelelser bruges af userspace til at opretholde kernekompatibilitet. Denne mekanisme er mulig takket være SELinux-biblioteket. Netværksmeddelelseshændelseskoden kan findes i netlink.c.

• SELinux pseudo-filsystemet eksporterer sikkerhedsserverens politik- API'er til operativsystemets processer. SELinux-kerne-API'erne blev oprindeligt opdelt i tre komponenter (procesattributter, filattributter, API-politik) som en del af ændringerne til Linux 2.6-kerneversionen. SELinux tilbyder også API-opkaldspolitik. Alle tre API-komponenter i den nye kerne er indkapslet i SELinux API-biblioteket ( libselinux). Pseudo-filsystemkoden kan findes i selinuxfs.c.

• Implementeringen af ​​interceptor-funktioner styrer informationssikkerheden forbundet med interne kerneobjekter og implementeringen af ​​SELinux adgangskontrol for hver operation inde i kernen. Interceptor-funktioner kalder sikkerhedsserveren og adgangsvektorcachen for at opnå sikkerhedspolitiske beslutninger og anvende disse beslutninger til at markere og kontrollere kerneobjekter. Koden til disse hook-funktioner er placeret i filen hooks.c, og de datastrukturer, der er knyttet til de interne objekter, er defineret i filen include/objsec.h.

Funktioner

• Forskellige politikker afhængig af opgaverne
• Klar politikimplementering
• Understøttelse af applikationer, der anmoder om politik og adgangskontrolhåndhævelse af disse applikationer (for eksempel en opgave startet i cron med den korrekte kontekst)
• SELinux uafhængige specifikke politikker og internationale sprogpolitikker
• Uafhængige specifikke sikkerhedslabelformater og deres indhold
• Individuelle etiketter og kontroller til kerneobjekter og -tjenester (dæmoner)
• Caching tilgængelige løsninger til effektivitet
• Evne til at ændre politik
• Forskellige foranstaltninger til beskyttelse af systemintegritet og datafortrolighed
• Meget fleksible politikker
• Styring af initialiseringsprocessen, nedarvning af rettigheder, lancering af programmer
• Håndtering af filsystemer, mapper, filer og åbne håndtag
• Håndtering af sockets, beskeder (kerne og system) og netværksgrænseflader

Implementeringer

SELinux har været kommercielt tilgængelig som en del af Red Hat Enterprise Linux siden version 4.

Understøttede Linux-distributioner i fællesskabet:

1. CentOS
2. Debian
3. ArchLinux (uofficiel)
4. Fedora Core siden version 2
5. Hærdet Gentoo
6. openSUSE siden version 11.1
7. ubuntu
8. ROSA
9. ALT Linux SPT 6

Andre systemer

SELinux er en af ​​flere mulige tilgange til at begrænse de handlinger, der udføres af installeret software.

AppArmor - systemet gør stort set det samme som SELinux. En vigtig forskel mellem disse systemer er måden filsystemobjekter identificeres på: AppArmor bruger den fulde sti, SELinux går dybere ved at bruge inoden .

Disse forskelle forekommer i to tilfælde:

• hvis filen har et andet, usikkert hårdt link , så vil AppArmor tillade adgang gennem det, og SELinux vil nægte, da hårde links refererer til den samme inode
• hvis applikationen genskaber den beskyttede fil, som bruges ret ofte og fører til en ændring i inoden, så vil AppArmor fortsætte med at nægte adgang, og SELinux vil tillade det

Disse problemer kan undgås på begge systemer ved at anvende standardpolitikken "ingen adgang".

Se også

• LIDS - Linux Intrusion Detection System
• United States National Security Agency
• TrustedBSD
• AppArmor

Noter

1. ↑ https://github.com/SELinuxProject/selinux/commit/ee1809f453038f7f34719f3fbd448893853d473f
2. ↑ Udgivelse 3.4 - 2022.

Litteratur

• Anatomi af SELinux. Architecture and Implementation Arkiveret 31. december 2010 hos Wayback Machine developerWorks, Tim Jones, 23/10/2008
• SELinux: Body Armor for Corporate Penguin Arkiveret 26. september 2011 på Wayback Machine Hacker Magazine

Links

• SEBSD Arkiveret 24. februar 2022 på Wayback Machine
• SEDarwin Arkiveret 7. maj 2021 på Wayback Machine
• SELinux af NSA Arkiveret 14. februar 2019 på Wayback Machine Den mest omfattende information om SELinux-projektet
• Dokumentation til brugere og udviklere Arkiveret 22. december 2011 på Wayback Machine (selinuxproject.org )
• SELinux på Debian Arkiveret 2. december 2011 på Wayback Machine
• Konfiguration af SELinux til dine behov Arkiveret 23. december 2011 på Wayback Machine
• Linux med forbedret sikkerhed. Brugervejledning Arkiveret 2. juni 2012 på Wayback Machine (rus) Fedora Linux-dokumentation