清单 1. 创建 socket 的内核代码
;;;;static int __sock_create(int family, int type, int protocol,
struct socket **res, int kern)
{
int err;
struct socket *sock;
/*
* Check protocol is in range
*/
if (family < 0 || family >= NPROTO)
return -EAFNOSUPPORT;
if (type < 0 || type >= SOCK_MAX)
return -EINVAL;
err = security_socket_create(family, type, protocol, kern);
if (err)
return err;
...
security_socket_create 函数在 ./linux/include/linux/security.h 中定义 。它提供了从 security_socket_create 到 security_ops 结构中动态安装的函数的间接调用(参见清单 2) 。
清单 2. 用于 socket 创建检查的间接调用
;;;;static inline int security_socket_create (int family, int type,
int protocol, int kern)
{
return security_ops->socket_create(family, type, protocol, kern);
}
security_ops 结构中的函数通过安全模块安装 。在本例中,这些钩子在可载入的 SELinux 内核模块中定义 。每个 SELinux 调用在 hooks 文件内部定义,该文件实现从内核函数到特定安全模块的动态调用的间接性(参见清单 3 中的 .../linux/security/selinux/hooks.c 代码) 。
【SELinux Linux安全新高度 安全增强Linux剖析】清单 3. SELinux socket 创建检查
;;;;static int selinux_socket_create(int family, int type,
int protocol, int kern)
{
int err = 0;
struct task_security_struct *tsec;
if (kern)
goto out;
tsec = current->security;
err = avc_has_perm(tsec->sid, tsec->sid,
socket_type_to_security_class(family, type,
protocol), SOCKET__create, NULL);
out:
return err;
}
清单 3 的核心部分是一个调用,用于验证当前操作是否是当前任务(通过 current->security 定义,其中 current 代表当前正在执行的任务)所允许的 。访问向量缓存(Access Vector Cache,AVC)缓存了之前的 SELinux 决策(提高进程的性能) 。此调用包括源安全标识符(sid)、安全类(根据请求操作的详细信息构造)、特定 socket 调用,以及可选的辅助审计数据 。如果未在缓存中找到决策,那么会调用安全服务器来获取决策(此过程如图 2 所示) 。
图 2. 分层 Linux 安全进程
上一页;;[1];[2][3];下一页
初始化到 security_ops 中的回调钩子被动态定义为一个可载入内核模块(通过 register_security()),但是在没有载入安全模块时,这些钩子包含伪桩(dummy stub)函数(参见 ./linux/security/dummy.c) 。这些桩函数实现标准 Linux DAC 策略 。始终存在回调钩子,其中必须提供对象中介(mediation)来保证安全性 。这包括任务管理(创建、通知、等待)、程序载入(execve)、文件系统管理(超级块、inode、文件钩子)、IPC(消息队列、共享内存、信号量(semaphore)操作)、模块钩子(插入和删除)、网络钩子(覆盖 socket、netlink、网络设备和其他协议接口) 。更多信息请参见 参考资料 小节或回顾 security.h 文件 。
其他方法
SELinux 是目前最全面的安全框架之一,但它不是惟一的 。本节回顾其他一些可用的方法 。
Apparmor
AppArmor 最初由 Immunix 开发,随后由 Novell 维护,它是 SELinux 的替代方法,也使用了 Linux 安全模块(LSM)框架 。由于 SELinux 和 AppArmor 使用了同样的框架,所以它们可以互换 。AppArmor 的开发初衷是因为人们认为 SELinux 太过复杂,不适合普通用户管理 。Apparmor 包含一个完全可配置的 MAC 模型和一个学习模式,在学习模式中,程序的典型行为可以转换为一个配置文件 。
SELinux 的一个问题在于,它需要一个支持扩展属性的文件系统;而 Apparmor 对文件系统没有任何要求 。您可以在 SUSE、OpenSUSE,以及 Ubuntu 的 Gutsy Gibbon 中找到 Apparmor 。
推荐阅读
- linux实用系统管理命令回顾
- 永远不要运行的危险Linux命令!
- LINUX下tar.gz包的安装方法
- 猎豹安全大师怎么开红包提醒?
- Unix/Linux中的shell 机制
- linux系统性能检测
- linux系统优化
- 基于Linux的VOIP开放协议和专有协议
- Linux认证:Linux 相关的四个认证
- Linux认证:Redhat认证考试心得之一 死记硬背篇