Linux安全模塊(LSM)簡(jiǎn)介
1.相關(guān)背景介紹:為什么和是什么
近年來Linux系統(tǒng)由于其出色的性能和穩(wěn)定性,開放源代碼特性帶來的靈活性和可擴(kuò)展性,以及較低廉的成本,而受到計(jì)算機(jī)工業(yè)界的廣泛關(guān)注和應(yīng)用。但在安全性方面,Linux內(nèi)核只提供了經(jīng)典的UNIX自主訪問控制(root用戶,用戶ID,模式位安全機(jī)制),以及部分的支持了POSIX.1e標(biāo)準(zhǔn)草案中的capabilities安全機(jī)制,這對(duì)于Linux系統(tǒng)的安全性是不足夠的,影響了Linux系統(tǒng)的進(jìn)一步發(fā)展和更廣泛的應(yīng)用。
有很多安全訪問控制模型和框架已經(jīng)被研究和開發(fā)出來,用以增強(qiáng)Linux系統(tǒng)的安全性,比較知名的有安全增強(qiáng)Linux(SELinux),域和類型增強(qiáng)(DTE),以及Linux入侵檢測(cè)系統(tǒng)(LIDS)等等。但是由于沒有一個(gè)系統(tǒng)能夠獲得統(tǒng)治性的地位而進(jìn)入Linux內(nèi)核成為標(biāo)準(zhǔn);并且這些系統(tǒng)都大多以各種不同的內(nèi)核補(bǔ)丁的形式提供,使用這些系統(tǒng)需要有編譯和定制內(nèi)核的能力,對(duì)于沒有內(nèi)核開發(fā)經(jīng)驗(yàn)的普通用戶,獲得并使用這些系統(tǒng)是有難度的。在2001年的Linux內(nèi)核峰會(huì)上,美國(guó)國(guó)家安全局(NSA)介紹了他們關(guān)于安全增強(qiáng)Linux(SELinux)的工作,這是一個(gè)靈活的訪問控制體系Flask在Linux中的實(shí)現(xiàn),當(dāng)時(shí)Linux內(nèi)核的創(chuàng)始人Linus Torvalds同意Linux內(nèi)核確實(shí)需要一個(gè)通用的安全訪問控制框架,但他指出最好是通過可加載內(nèi)核模塊的方法,這樣可以支持現(xiàn)存的各種不同的安全訪問控制系統(tǒng)。因此,Linux安全模塊(LSM)應(yīng)運(yùn)而生。
Linux安全模塊(LSM)是Linux內(nèi)核的一個(gè)輕量級(jí)通用訪問控制框架。它使得各種不同的安全訪問控制模型能夠以Linux可加載內(nèi)核模塊的形式實(shí)現(xiàn)出來,用戶可以根據(jù)其需求選擇適合的安全模塊加載到Linux內(nèi)核中,從而大大提高了Linux安全訪問控制機(jī)制的靈活性和易用性。目前已經(jīng)有很多著名的增強(qiáng)訪問控制系統(tǒng)移植到Linux安全模塊(LSM)上實(shí)現(xiàn),包括POSIX.1e capabilities,安全增強(qiáng)Linux(SELinux),域和類型增強(qiáng)(DTE),以及Linux入侵檢測(cè)系統(tǒng)(LIDS)等等。雖然目前Linux安全模塊(LSM)仍然是作為一個(gè)Linux內(nèi)核補(bǔ)丁的形式提供,但是其同時(shí)提供Linux 2.4穩(wěn)定版本的系列和Linux 2.5開發(fā)版本的系列,并且很有希望進(jìn)入Linux 2.6穩(wěn)定版本,進(jìn)而實(shí)現(xiàn)其目標(biāo):被Linux內(nèi)核接受成為L(zhǎng)inux內(nèi)核安全機(jī)制的標(biāo)準(zhǔn),在各個(gè)Linux發(fā)行版中提供給用戶使用。
2.設(shè)計(jì)思想介紹:得讓兩方面都滿意
Linux安全模塊(LSM)的設(shè)計(jì)必須盡量滿足兩方面人的要求:讓不需要它的人盡可能少的因此得到麻煩;同時(shí)讓需要它的人因此得到有用和高效的功能。
以Linus Torvalds為代表的內(nèi)核開發(fā)人員對(duì)Linux安全模塊(LSM)提出了三點(diǎn)要求:
真正的通用,當(dāng)使用一個(gè)不同的安全模型的時(shí)候,只需要加載一個(gè)不同的內(nèi)核模塊
概念上簡(jiǎn)單,對(duì)Linux內(nèi)核影響最小,高效,并且
能夠支持現(xiàn)存的POSIX.1e capabilities邏輯,作為一個(gè)可選的安全模塊
另一方面,各種不同的Linux安全增強(qiáng)系統(tǒng)對(duì)Linux安全模塊(LSM)提出的要求是:能夠允許他們以可加載內(nèi)核模塊的形式重新實(shí)現(xiàn)其安全功能,并且不會(huì)在安全性方面帶來明顯的損失,也不會(huì)帶來額外的系統(tǒng)開銷。
為了滿足這些設(shè)計(jì)目標(biāo),Linux安全模塊(LSM)采用了通過在內(nèi)核源代碼中放置鉤子的方法,來仲裁對(duì)內(nèi)核內(nèi)部對(duì)象進(jìn)行的訪問,這些對(duì)象有:任務(wù),inode結(jié)點(diǎn),打開的文件等等。用戶進(jìn)程執(zhí)行系統(tǒng)調(diào)用,首先游歷Linux內(nèi)核原有的邏輯找到并分配資源,進(jìn)行錯(cuò)誤檢查,并經(jīng)過經(jīng)典的UNIX自主訪問控制,恰好就在Linux內(nèi)核試圖對(duì)內(nèi)部對(duì)象進(jìn)行訪問之前,一個(gè)Linux安全模塊(LSM)的鉤子對(duì)安全模塊所必須提供的函數(shù)進(jìn)行一個(gè)調(diào)用,從而對(duì)安全模塊提出這樣的問題是否允許訪問執(zhí)行?,安全模塊根據(jù)其安全策略進(jìn)行決策,作出回答:允許,或者拒絕進(jìn)而返回一個(gè)錯(cuò)誤。
另一方面,為了滿足大多數(shù)現(xiàn)存Linux安全增強(qiáng)系統(tǒng)的需要,Linux安全模塊(LSM)采取了簡(jiǎn)化設(shè)計(jì)的決策。Linux安全模塊(LSM)現(xiàn)在主要支持大多數(shù)現(xiàn)存安全增強(qiáng)系統(tǒng)的核心功能:訪問控制;而對(duì)一些安全增強(qiáng)系統(tǒng)要求的其他安全功能,比如安全審計(jì),只提供了的少量的支持。Linux安全模塊(LSM)現(xiàn)在主要支持限制型的訪問控制決策:當(dāng)Linux內(nèi)核給予訪問權(quán)限時(shí),Linux安全模塊(LSM)可能會(huì)拒絕,而當(dāng)Linux內(nèi)核拒絕訪問時(shí),就直接跳過Linux安全模塊(LSM);而對(duì)于相反的允許型的訪問控制決策只提供了少量的支持。對(duì)于模塊功能合成,Linux安全模塊(LSM)允許模塊堆棧,但是把主要的工作留給了模塊自身:由第一個(gè)加載的模塊進(jìn)行模塊功能合成的最終決策。所有這些設(shè)計(jì)決策可能暫時(shí)影響了Linux安全模塊(LSM)的功能和靈活性,但是大大降低了Linux安全模塊(LSM)實(shí)現(xiàn)的復(fù)雜性,減少了對(duì)Linux內(nèi)核的修改和影響,使得其進(jìn)入Linux內(nèi)核成為安全機(jī)制標(biāo)準(zhǔn)的可能性大大提高;等成為標(biāo)準(zhǔn)后,可以改變決策,增加功能和靈活性。
3.實(shí)現(xiàn)方法介紹:對(duì)Linux內(nèi)核的修改
Linux安全模塊(LSM)目前作為一個(gè)Linux內(nèi)核補(bǔ)丁的形式實(shí)現(xiàn)。其本身不提供任何具體的安全策略,而是提供了一個(gè)通用的基礎(chǔ)體系給安全模塊,由安全模塊來實(shí)現(xiàn)具體的安全策略。其主要在五個(gè)方面對(duì)Linux內(nèi)核進(jìn)行了修改:
在特定的內(nèi)核數(shù)據(jù)結(jié)構(gòu)中加入了安全域
在內(nèi)核源代碼中不同的關(guān)鍵點(diǎn)插入了對(duì)安全鉤子函數(shù)的調(diào)用
加入了一個(gè)通用的安全系統(tǒng)調(diào)用
提供了函數(shù)允許內(nèi)核模塊注冊(cè)為安全模塊或者注銷
將capabilities邏輯的大部分移植為一個(gè)可選的安全模塊
下面對(duì)這五個(gè)方面的修改逐個(gè)做簡(jiǎn)要的介紹。
安全域是一個(gè)void*類型的指針,它使得安全模塊把安全信息和內(nèi)核內(nèi)部對(duì)象聯(lián)系起來。下面列出被修改加入了安全域的內(nèi)核數(shù)據(jù)結(jié)構(gòu),以及各自所代表的內(nèi)核內(nèi)部對(duì)象:
task_struct結(jié)構(gòu):代表任務(wù)(進(jìn)程)
linux_binprm結(jié)構(gòu):代表程序
super_block結(jié)構(gòu):代表文件系統(tǒng)
inode結(jié)構(gòu):代表管道,文件,或者Socket套接字
file結(jié)構(gòu):代表打開的文件
sk_buff結(jié)構(gòu):代表網(wǎng)絡(luò)緩沖區(qū)(包)
net_device結(jié)構(gòu):代表網(wǎng)絡(luò)設(shè)備
kern_ipc_perm結(jié)構(gòu):代表Semaphore信號(hào),共享內(nèi)存段,或者消息隊(duì)列
msg_msg:代表單個(gè)的消息
另外,msg_msg結(jié)構(gòu),msg_queue結(jié)構(gòu),shmid_kernel結(jié)構(gòu)被移到include/linux/msg.h和include/linux/shm.h這兩個(gè)頭文件中,使得安全模塊可以使用這些定義。
Linux安全模塊(LSM)提供了兩類對(duì)安全鉤子函數(shù)的調(diào)用:一類管理內(nèi)核對(duì)象的安全域,另一類仲裁對(duì)這些內(nèi)核對(duì)象的訪問。對(duì)安全鉤子函數(shù)的調(diào)用通過鉤子來實(shí)現(xiàn),鉤子是全局表security_ops中的函數(shù)指針,這個(gè)全局表的類型是security_operations結(jié)構(gòu),這個(gè)結(jié)構(gòu)定義在include/linux/security.h這個(gè)頭文件中,這個(gè)結(jié)構(gòu)中包含了按照內(nèi)核對(duì)象或內(nèi)核子系統(tǒng)分組的鉤子組成的子結(jié)構(gòu),以及一些用于系統(tǒng)操作的頂層鉤子。在內(nèi)核源代碼中很容易找到對(duì)鉤子函數(shù)的調(diào)用:其前綴是security_ops->。對(duì)鉤子函數(shù)的詳細(xì)說明留到后面。
Linux安全模塊(LSM)提供了一個(gè)通用的安全系統(tǒng)調(diào)用,允許安全模塊為安全相關(guān)的應(yīng)用編寫新的系統(tǒng)調(diào)用,其風(fēng)格類似于原有的Linux系統(tǒng)調(diào)用socketcall(),是一個(gè)多路的系統(tǒng)調(diào)用。這個(gè)系統(tǒng)調(diào)用為security(),其參數(shù)為(unsigned int id, unsigned int call, unsigned long *args),其中id代表模塊描述符,call代表調(diào)用描述符,args代表參數(shù)列表。這個(gè)系統(tǒng)調(diào)用缺省的提供了一個(gè)sys_security()入口函數(shù):其簡(jiǎn)單的以參數(shù)調(diào)用sys_security()鉤子函數(shù)。如果安全模塊不提供新的系統(tǒng)調(diào)用,就可以定義返回-ENOSYS的sys_security()鉤子函數(shù),但是大多數(shù)安全模塊都可以自己定義這個(gè)系統(tǒng)調(diào)用的實(shí)現(xiàn)。
在內(nèi)核引導(dǎo)的過程中,Linux安全模塊(LSM)框架被初始化為一系列的虛擬鉤子函數(shù),以實(shí)現(xiàn)傳統(tǒng)的UNIX超級(jí)用戶機(jī)制。當(dāng)加載一個(gè)安全模塊時(shí),必須使用register_security()函數(shù)向Linux安全模塊(LSM)框架注冊(cè)這個(gè)安全模塊:這個(gè)函數(shù)將設(shè)置全局表security_ops,使其指向這個(gè)安全模塊的鉤子函數(shù)指針,從而使內(nèi)核向這個(gè)安全模塊詢問訪問控制決策。一旦一個(gè)安全模塊被加載,就成為系統(tǒng)的安全策略決策中心,而不會(huì)被后面的register_security()函數(shù)覆蓋,直到這個(gè)安全模塊被使用unregister_security()函數(shù)向框架注銷:這簡(jiǎn)單的將鉤子函數(shù)替換為缺省值,系統(tǒng)回到UNIX超級(jí)用戶機(jī)制。另外,Linux安全模塊(LSM)框架還提供了函數(shù)mod_reg_security()和函數(shù)mod_unreg_security(),使其后的安全模塊可以向已經(jīng)第一個(gè)注冊(cè)的主模塊注冊(cè)和注銷,但其策略實(shí)現(xiàn)由主模塊決定:是提供某種策略來實(shí)現(xiàn)模塊堆棧從而支持模塊功能合成,還是簡(jiǎn)單的返回錯(cuò)誤值以忽略其后的安全模塊。這些函數(shù)都提供在內(nèi)核源代碼文件security/security.c中。
linux操作系統(tǒng)文章專題:linux操作系統(tǒng)詳解(linux不再難懂)
評(píng)論