SELinux

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 1 juni 2018; kontroller kräver 9 redigeringar .

SELinux
SELinux Administration GUI på Fedora 8
Sorts	Säkerhet
Utvecklaren	röd hatt
Skrivet i	Xi
Operativ system	Linux -kärnkomponent
Första upplagan	1998
senaste versionen	3.4 ( 18 maj 2022 ) [2]
släppa kandidat	2.9-rc2 ( 28 februari 2019 ) [1]
Licens	GNU GPL
Hemsida	selinuxproject.org
Mediafiler på Wikimedia Commons

SELinux ( engelska  Security-Enhanced Linux - Linux med förbättrad säkerhet) är en implementering av ett påtvingat åtkomstkontrollsystem som kan fungera parallellt med ett klassiskt selektivt åtkomstkontrollsystem .

Kort beskrivning

Operativsystemet är kvar inom ett selektivt åtkomstkontrollsystem och har en grundläggande begränsning när det gäller att dela processåtkomst till resurser - åtkomst till resurser baseras på användarrättigheter. Det är klassiska rättigheter på tre nivåer – ägare, ägargrupp och andra. rwx

I SELinux bestäms åtkomsträttigheter av systemet självt med hjälp av speciellt definierade policyer. Policyer fungerar på systemanropsnivå och upprätthålls av själva kärnan (men kan också implementeras på applikationsnivå). SELinux fungerar efter den klassiska Linux-säkerhetsmodellen. Med andra ord kan du inte tillåta genom SELinux vad som är förbjudet genom användar- eller gruppbehörigheter. Policyer beskrivs med ett speciellt flexibelt språk för att beskriva åtkomstregler. I de flesta fall är SELinux regler "transparenta" för applikationer och ingen modifiering krävs. Vissa distributioner inkluderar out-of-the-box-policyer där rättigheter kan bestämmas baserat på en matchning mellan process (ämne) och fil (objekt) typer - detta är huvudmekanismen för SELinux. Två andra former av åtkomstkontroll är rollbaserad åtkomst och säkerhetsbaserad åtkomst. Till exempel " DSP ", "hemlig", "tophemlig", " OV ".

Den enklaste policytypen att arbeta med och underhålla är den så kallade "riktade" policyn som utvecklats av Fedora -projektet . Policyn beskriver mer än 200 processer som kan köras på operativsystemet. Allt som inte beskrivs av "mål"-policyn utförs i domänen (med typ) unconfined_t. Processer som körs i denna domän skyddas inte av SELinux. Således kommer alla tredjeparts användarapplikationer att fungera utan problem i ett system med en "riktad" policy inom de klassiska behörigheterna för ett selektivt åtkomstkontrollsystem.

Förutom den "riktade" policyn innehåller vissa distributioner en policy med en säkerhetsmodell i lager (som stöder Bell-LaPadula-modellen ).

Det tredje policyalternativet är "strikt". Här gäller principen "det som inte är tillåtet är förbjudet" ( principen om minsta rättigheter ). Policyn är baserad på Tresys referenspolicy .

SELinux utvecklades av US National Security Agency och sedan gjordes dess källkod tillgänglig för nedladdning.

Originaltext  (engelska)[ visaDölj] Från NSA Security-enhanced Linux Team :

"NSA-säkerhetsförbättrad Linux är en uppsättning patchar till Linux -kärnan och vissa verktyg för att införliva en stark, flexibel arkitektur för obligatorisk åtkomstkontroll (MAC) i kärnans stora delsystem. Den tillhandahåller en mekanism för att upprätthålla separering av information baserat på konfidentialitets- och integritetskrav, vilket gör det möjligt att hantera hot om manipulering och förbikoppling av programsäkerhetsmekanismer och möjliggör begränsning av skada som kan orsakas av skadliga eller felaktiga program. Den innehåller en uppsättning exempel på säkerhetspolicykonfigurationsfiler utformade för att uppfylla gemensamma säkerhetsmål för allmänna ändamål."

SELinux ingår i Linux-kärnan (sedan version 2.6).

Dessutom kräver SELinux modifierade versioner av vissa verktyg ( ps , ls och andra) som ger stöd för nya kärnfunktioner och stöd från filsystemet.

Grundläggande begrepp

• En domän är en uppsättning åtgärder som en process kan utföra. I grund och botten är dessa åtgärder som en process behöver för att utföra en specifik uppgift.

• En roll är en samling av flera domäner.

• En säkerhetskontext är en samling av alla attribut som är associerade med objekt och ämnen.

• En säkerhetspolicy är en uppsättning fördefinierade regler som styr interaktionen mellan roller och domäner.

Översikt över LSM

LSM ( engelsk  Linux Security Modules - Linux security modules) är implementering i form av laddningsbara kärnmoduler. I första hand används LSM för att stödja åtkomstkontroll. LSM:er förser i sig inte systemet med någon extra säkerhet, utan fungerar bara som ett slags gränssnitt för att stödja det. LSM-systemet tillhandahåller implementering av interceptorfunktioner, som lagras i en säkerhetspolitisk struktur som täcker de huvudsakliga operationer som behöver skyddas. Åtkomstkontroll till systemet utförs tack vare de konfigurerade policyerna.

Åtkomstkontrollmetoder

De flesta operativsystem har åtkomstkontrollfunktioner och metoder som i sin tur avgör om en enhet på operativsystemnivå (användare eller program) kan komma åt en viss resurs. Följande åtkomstkontrollmetoder används:

• Diskretionär åtkomstkontroll ( DAC) .  Denna metod implementerar begränsningen av åtkomst till objekt baserat på de grupper som de tillhör. På Linux är denna metod baserad på standardmodellen för filåtkomstkontroll. Åtkomsträttigheter definieras för följande kategorier: användare (ägare av filen), grupp (alla användare som är medlemmar i gruppen), andra (alla användare som varken är ägare till filen eller medlemmar i gruppen). Dessutom ges följande rättigheter till var och en av grupperna: rättigheterna att skriva, läsa och utföra.

• Obligatorisk åtkomstkontroll ( MAC) .  Huvudessensen av denna metod är att fastställa vissa åtkomsträttigheter för subjektet till vissa objekt. OS implementerar följande: programmet har bara de funktioner som det behöver för att utföra sina uppgifter, och inget mer. Denna metod har en fördel jämfört med den tidigare; om en sårbarhet hittas i ett program, kommer dess åtkomst att vara mycket begränsad.

• Rollbaserad åtkomstkontroll ( RBAC ) .  Åtkomsträttigheter implementeras i form av roller utfärdade av säkerhetssystemet. Roller representerar vissa befogenheter att utföra specifika handlingar av en grupp individer på objekt i systemet. Denna policy är en förbättring av diskretionär åtkomstkontroll.

Intern arkitektur för SELinux

I början av sitt utseende implementerades SELinux som en patch. I det här fallet var det inte lätt att konfigurera säkerhetspolicyn. Med tillkomsten av LSM-mekanismer har säkerhetskonfiguration och -hantering förenklats avsevärt (policy- och säkerhetsmekanismer har separerats), SELinux har implementerats som kärnplugin. Innan du kommer åt de interna objekten i operativsystemet ändras kärnkoden. Detta implementeras med hjälp av specialfunktioner ( system call interceptors ) , de så kallade hook - funktionerna .  Interceptor-funktioner lagras i någon datastruktur, deras syfte är att utföra vissa säkerhetsåtgärder baserat på en förutbestämd policy. Modulen i sig innehåller sex huvudkomponenter: en säkerhetsserver; access vektorcache ( eng. Access Vector Cache , AVC); nätverksgränssnittstabeller; nätverksmeddelandesignalkod; dess virtuella filsystem (selinuxfs) och implementeringen av interceptor-funktioner.  

• Accessvektorcachen används för att cachelagra beräknade resultat (lagring av out-of-the-box accesskontrollbeslut) som tas emot från säkerhetsservern. Detta är nödvändigt för att minimera prestandaoverheaden för SELinux säkerhetsmekanismer. Gränssnittet för åtkomstvektorcache för säkerhetsservern definieras i rubrikfilen include/avc_ss.h.

• Nätverksgränssnittstabellen mappar nätverksenheter till säkerhetssammanhang. Stöd för separata tabeller krävs eftersom säkerhetsfältet för nätverksenhet har tagits bort från projektet. Nätverksenheter läggs till i tabellen när de först ses av interceptorfunktioner (upptäcks av dem) och tas bort från den när enheten konfigureras eller säkerhetspolicyn laddas om på grund av omkonfigurering. Detta är möjligt tack vare callback-funktioner som loggar enhetskonfigurationsändringar och omladdningar av säkerhetspolicyer. Koden för nätverksgränssnittstabellen finns i netif.c.

• Nätverksaviseringshändelsekoden tillåter SELinux-modulen att meddela operativsystemets processer när en säkerhetspolicy har laddats om. Dessa meddelanden används av användarutrymmet för att upprätthålla kärnkompatibilitet. Denna mekanism är möjlig tack vare SELinux-biblioteket. Nätverksaviseringshändelsekoden finns i netlink.c.

• SELinux-pseudofilsystemet exporterar säkerhetsserverns policy- API :er till operativsystemets processer. SELinux kärn-API:er delades ursprungligen upp i tre komponenter (processattribut, filattribut, API-policy) som en del av ändringarna av Linux 2.6 kärnversionen. SELinux tillhandahåller också API-anropspolicystöd. Alla tre API-komponenter i den nya kärnan är inkapslade i SELinux API-biblioteket ( libselinux). Pseudofilsystemets kod finns i selinuxfs.c.

• Implementeringen av interceptor-funktioner hanterar informationssäkerheten associerad med interna kärnobjekt och implementeringen av SELinux åtkomstkontroll för varje operation inuti kärnan. Interceptor-funktioner anropar säkerhetsservern och åtkomstvektorcachen för att erhålla säkerhetspolicybeslut och tillämpa dessa beslut för att markera och kontrollera kärnobjekt. Koden för dessa hook-funktioner finns i filen hooks.coch de datastrukturer som är associerade med de interna objekten definieras i filen include/objsec.h.

Funktioner

• Olika policyer beroende på arbetsuppgifter
• Tydlig policyimplementering
• Stöd för applikationer som begär policy- och åtkomstkontrolltillämpning av dessa applikationer (till exempel en uppgift som startas i cron med rätt kontext)
• SELinux oberoende specifika policyer och internationella språkpolicyer
• Oberoende specifika säkerhetsetikettformat och deras innehåll
• Individuella etiketter och kontroller för kärnobjekt och tjänster (demoner)
• Cacha tillgängliga lösningar för effektivitet
• Förmåga att ändra policy
• Olika åtgärder för att skydda systemets integritet och datakonfidentialitet
• Mycket flexibel politik
• Hantering av initieringsprocessen, arv av rättigheter, lansering av program
• Hantera filsystem, mappar, filer och öppna handtag
• Hantera sockets, meddelanden (kärna och system) och nätverksgränssnitt

Implementeringar

SELinux har varit kommersiellt tillgänglig som en del av Red Hat Enterprise Linux sedan version 4.

Linux-distributioner som stöds i gemenskapen:

1. CentOS
2. Debian
3. ArchLinux (inofficiell)
4. Fedora Core sedan version 2
5. Härdad Gentoo
6. openSUSE sedan version 11.1
7. ubuntu
8. ROSA
9. ALT Linux SPT 6

Andra system

SELinux är ett av flera möjliga tillvägagångssätt för att begränsa de åtgärder som utförs av installerad programvara.

AppArmor - systemet gör ungefär samma sak som SELinux. En viktig skillnad mellan dessa system är hur filsystemobjekt identifieras: AppArmor använder hela sökvägen, SELinux går djupare med inoden .

Dessa skillnader uppträder i två fall:

• om filen har en andra, osäker hårdlänk kommer AppArmor att tillåta åtkomst genom den, och SELinux kommer att vägra, eftersom hårda länkar refererar till samma inode
• om applikationen återskapar den skyddade filen, som används ganska ofta och leder till en förändring av inoden, kommer AppArmor att fortsätta att neka åtkomst, och SELinux tillåter det

Dessa problem kan undvikas på båda systemen genom att tillämpa standardprincipen "ingen åtkomst".

Se även

• LOCK - Linux Intrusion Detection System
• United States National Security Agency
• TrustedBSD
• AppArmor

Anteckningar

1. ↑ https://github.com/SELinuxProject/selinux/commit/ee1809f453038f7f34719f3fbd448893853d473f
2. ↑ Utgåva 3.4 - 2022.

Litteratur

• Anatomi av SELinux. Arkitektur och implementering Arkiverad 31 december 2010 på Wayback Machine developerWorks, Tim Jones, 2008-10-23
• SELinux: Body Armor for the Corporate Penguin Arkiverad 26 september 2011 på Wayback Machine Hacker Magazine

Länkar

• SEBSD Arkiverad 24 februari 2022 på Wayback Machine
• SEDarwin Arkiverad 7 maj 2021 på Wayback Machine
• SELinux av NSA Arkiverad 14 februari 2019 på Wayback Machine Den mest omfattande informationen om SELinux-projektet
• Dokumentation för användare och utvecklare Arkiverad 22 december 2011 på Wayback Machine (selinuxproject.org )
• SELinux på Debian Arkiverad 2 december 2011 på Wayback Machine
• Konfigurera SELinux för dina behov Arkiverad 23 december 2011 på Wayback Machine
• Linux med förbättrad säkerhet. Användarmanual Arkiverad 2 juni 2012 på Wayback Machine (rus) Fedora Linux-dokumentation