Linux -suojausmoduulit - Linux Security Modules

Linux Security Modules ( LSM ) on kehys, jonka avulla Linux -ydin voi tukea erilaisia tietokoneiden suojausmalleja ilman esijännitystä . LSM on lisensoitu GNU General Public License -ehtojen mukaisesti ja se on vakio -osa Linux -ydintä Linux 2.6: n jälkeen. AppArmor , SELinux , Smack ja TOMOYO Linux ovat virallisen ytimen tällä hetkellä hyväksytyt suojausmoduulit.

Design

LSM on suunniteltu vastaamaan kaikkiin pakollisen kulunvalvontamoduulin onnistuneen käyttöönoton vaatimuksiin ja asettamaan mahdollisimman vähän muutoksia Linux -ytimeen. LSM vältetään lähestymistapa systeemikutsu väliin käyttämä Systrace koska se ei skaalautuvat monisuoritinjärjestelmässä ytimistä ja edellyttää TOCTTOU (rotu) hyökkäyksiä. Sen sijaan LSM lisää " koukkuja " (kutsuja moduuliin) jokaiseen ytimen kohtaan, jossa käyttäjätason järjestelmäkutsu on tulossa, ja pääsy tärkeään sisäiseen ytimen objektiin, kuten inodeihin ja tehtävien ohjauslohkoihin.

LSM on kapea-alainen ratkaisemaan pääsynvalvontaongelma , mutta ei pakota suurta ja monimutkaista muutoskorjausta valtavirran ytimeen. Sitä ei ole tarkoitettu yleiseksi " koukku " -tai " kutsutusmekanismiksi ", eikä se tue käyttöjärjestelmän tason virtualisointia .

LSM: n pääsynvalvontatavoite liittyy hyvin läheisesti järjestelmän auditoinnin ongelmaan , mutta on hienovaraisesti erilainen. Tarkastus edellyttää, että jokainen pääsyyritys tallennetaan. LSM ei pysty toimittamaan tätä, koska se vaatisi paljon enemmän koukkuja havaitakseen tapaukset, joissa ytimen " oikosulku " epäonnistuu järjestelmäpuheluissa ja palauttaa virhekoodin ennen kuin pääsee lähelle merkittäviä kohteita.

LSM -malli on kuvattu julkaisussa Linux Security Modules: General Security Support for Linux Kernel, joka esiteltiin USENIX Security 2002 -tapahtumassa. Samassa konferenssissa käytettiin artikkelia Use CQUAL for Static Analysis of Authorization Hook Placement, jossa tutkittiin ytimen koodin automaattista staattista analyysiä varmistaaksesi, että kaikki tarvittavat koukut on todella lisätty Linux -ytimeen.

Hyväksyminen

Historia

Vuoden 2001 Linux -ytimen huippukokouksessa NSA ehdotti SELinuxin sisällyttämistä Linux 2.5: een. Linus Torvalds hylkäsi SELinuxin tuolloin, koska hän havaitsi, että kehitteillä on monia erilaisia ​​turvallisuushankkeita, ja koska ne kaikki eroavat toisistaan, turvallisuusyhteisö ei ole vielä muodostanut yksimielisyyttä lopullisesta turvallisuusmallista. Sen sijaan Linus kehotti turvallisuusyhteisöä "tekemään siitä moduulin".

Vastauksena Crispin Cowan ehdotti LSM: liitäntää Linux -ytimelle, joka tarjoaa riittävästi "koukkuja" (ylöskutsuja) Linux -ytimen sisältä ladattavaan moduuliin, jotta moduuli voi pakottaa pakolliset pääsynvalvontatoimet. LSM -yhteisö kehitti LSM: ää seuraavien kahden vuoden aikana, mukaan lukien merkittävät panokset Immunix Corporationilta , NSA: lta , McAfeelta , IBM: ltä , Silicon Graphicsilta ja monilta riippumattomilta avustajilta. LSM hyväksyttiin lopulta Linux -ytimen valtavirtaan, ja se sisällytettiin vakio -osaksi Linux 2.6: ta joulukuussa 2003.

Vuonna 2006 jotkut ytimen kehittäjät havaitsivat, että SELinux oli ainoa laajalti käytetty LSM -moduuli, joka sisältyi Linuxin ytimen lähdepuuhun. Jos on olemassa vain yksi laajalti käytetty LSM -moduuli, se perustellaan, LSM: n epäsuunta on tarpeeton, ja LSM on poistettava ja korvattava SELinuxilla. On kuitenkin olemassa muita LSM moduuleja ylläpidetään ulkopuolella valtavirran kerneleissä ( AppArmor , Linux Intrusion Detection System , FireFlier , CIPSO , Multi ADM , jne), joten tämä argumentti johti kaksi tulosta: 1. että kehittäjät näistä moduuleista alkaneet toteuttaa ponnisteluja moduuliensa uusimiseen ja 2. vuoden 2006 ytimen huippukokouksessa Linus vakuutti jälleen kerran, että LSM pysyy paikallaan, koska hän ei halua päättää, mikä on paras suojausmalli.

LSM todennäköisesti säilyy, koska lisäsuojausmoduulit Smack (versio 2.6.25), TOMOYO Linux (versio 2.6.30, kesäkuu 2009) ja AppArmor (versio 2.6.36) hyväksyttiin päälinjaan.

Viitteet

Ulkoiset linkit