揭开SELinux的秘密：第2部分

添加时间: 2005-6-6 4:03:00 作者: 网络收集阅读次数:138 来源: http://www.d9soft.com

深入探讨 NSA 的 Linux 安全性增强型版本的代码

美国国家安全局 (NSA) 不同寻常地向开放源码社区公布了安全性增强型版本的 Linux -- 包括代码和所有部分。这篇 developerWorks 的第 2 部分专门深入研究了该代码，剖析了 security_av 是如何计算的以及检查如何调用其它 SE Linux 安全性特性。

幼虫、沙砾和代码

让我们看一下 SE Linux 分发版中的一些 C 代码，检验安全性增强的实现细节。

让我们从头开始。在分发版目录 include/linux/flask/flask types.h. 中有包含基本 Flask 类型和常量的头文件，现摘录如下：

/*The security context type
* is defined as a variable-length string that can be
* interpreted by any application or user.
*/
typedef char* security_context_t;

/*
* A security identifier (SID) is a fixed-size value
* that is mapped by the security server to a
* particular security context.
*/
typedef __u32 security_id_t;
#define SECSID_NULL　　　　　　0x00000000 /* unspecified SID */
#define SECSID_WILD　　　　　　0xFFFFFFFF /* wildcard SID */

/*
* Each object class is identified by a fixed-size value.
.
*/
typedef __u16 security_class_t;
#define SECCLASS_NULL　　　　　　0x0000 /* no class */

/*
* A persistent security identifier (PSID) is a fixed-size
* value that is assigned by the file system component
* to each security context associated with an object
* in the file system.　
*/
typedef __u32 psid_t;
struct psidtab;

/*
* An access vector (AV) is a collection of related permissions
* for a pair of SIDs.
*/
typedef __u32 access_vector_t;

在 kernel/flask/access_vectors，我们发现这些结构进一步定义了安全性服务器 AV：

class security
{
　 compute_av
　 notify_perm
　 transition_sid
　 member_sid
　 sid_to_context
　 context_to_sid
　 load_policy
　 get_sids
　 register_avc
　 change_sid
}

与过程相关的对象有一个类似于这样的 AV：

class process
{
　 execute
　 fork
　 transition
　 sigchld
　 sigkill
　 sigstop
　 signal
　 ptrace
　 getsched
　 setsched
　 getsession
　 getpgid
　 setpgid
　 getcap
　 setcap
　 entrypoint
}

文件对象 AV 是如下结构：

class filesystem
{
　 mount
　 remount
　 unmount
　 getattr
　 relabelfrom
　 relabelto
　 transition
　 associate
}

class dir
inherits file
{
　 add_name
　 remove_name
　 reparent
　 search
　 rmdir
　 mounton
　 mountassociate
}

由于我们进入了 AV 声明，让我们看一下在安全性服务器中进行 AV 计算的代码。记住，如果未击中缓存，那么核心调用 AVC，AVC 调用安全性服务器。

该代码片段来自己提供最小实现，该实现提供单一 SID 并授予所有权限。这不是很安全。在该段代码中，计算 AV 并产生一个 SID。请注意，ssid 是源 SID，tsid 是目标 SID。由于我进行了一些注释，破坏了原有的良好格式。

这就是现状。它可能是最简单的，而且不是很有用。想要了解添加了 RBAC、TE 和 MLS 的 security_compute_av 有些什么，请查看 kernel/security/services.c 中的代码。

安全性调用

在 SE Linux 中安全性调用是如何工作的？对于那一点，请参阅代码样本，在其发行版中概述了 call_security.c。包括代码片段和注释。为简短起见，我忽略了在主菜单选项之前出现的正确性检查函数。

该代码样本是类似的代码片段，但它来自于上篇文章（请参阅参考资料）提到的 checkpolicy 程序。它显示了其它安全性函数调用的代码，并且完全不需加以说明。checkpolicy 程序包含安全性服务器代码的完整副本，只要执行这个副本，使其允许：(1) 测试／调试用户空间中的代码，(2) 在引导之前检查策略，(3) 把策略编译成其二进制表示。

这个简单示例说明了只可以使用这些调用的方式之一。内核访问向量高速缓存调用 kernel/include/linux/flask/avc.h 中的内联函数 avc_has_perm_ref_audit 中的 security_compute_av。然后，可以通过对象管理器调用 kernel/fs/namei.c 中的 do_link 函数中的 avc_has_perm_ref_audit。这提供了内核如何调用 AVC 以及 AVC 如何调用安全性服务器（如果有高速缓存失配）的示例。

应用程序如何调用 security_compute_av 的示例在 utils/vixie-cron-3.0.1/database.c 的 process_crontab 函数中。这显示了应用程序如何调用安全性服务器。作者已声明他们计划提供一个应用程序 AVC 库，以便于应用程序也可以缓存安全性策略以及使用与核心风格一致的接口。这将极大地简化编程工作，我们只能希望这会尽快出现。

结束语

安全性增强型 Linux 的前途非常光明，因为它看起来能满足安全 OS 的需要。当然，要达到实际可用的形式还有很多事要做，但是开放源码社团可能会处理这件事。

本文检查了一些代码的内幕，从而显示了它们的工作机制。请记住，这只是从分发的完整代码中抽取的一部分代码片段。应该经常查阅分发站点（请参阅参考资料），以确保您拿到的是最新版本。

致谢

本文已由那些很有资历的同仁们进行了技术审阅，他们不想让我在这公共的场合提到他们。也好，他们知道他们是谁。谢谢。

参考资料

通过合并一个称为 NetTop 的商业产品，据称 NSA 将替换一些物理上分隔的计算机。
在国家安全局的网站上有新的基于 2.4.2 的 SE Linux 发行版。
SE Linux 的文档包括内核安全性机制的设计和实现，以及安全性策略配置的详细信息。
从 NSA 站点下载源代码。

上下文章:

上一篇文章: linuxkernel2.4.5ipv4socket层的一点解释下一篇文章: 感染linux脚本程序技术

相关文章:

相关软件:

揭开SELinux的秘密：第2部分

快速导航

LINUX分类导航

本类经典文章推荐

Linux阅读排行

LINUX阅读总排行

广告位置