170 likes | 369 Views
Новые модули для подсистемы безопасности SElinux: Loadable Policy Modules, Multi-Category Security, Reference Policy Иванов Павел Алексеевич XLIII Всероссийская конференция по проблемам математики, информатики, физики и химии МОСКВА 2007 г. Содержание. Список источников
E N D
Новые модули для подсистемы безопасности SElinux: Loadable Policy Modules, Multi-Category Security, Reference Policy Иванов Павел Алексеевич XLIII Всероссийская конференция по проблемам математики, информатики, физики и химии МОСКВА 2007 г.
Содержание • Список источников • Подсистема безопасности SELinux • Новые модули SELinux • Заключение
Список источников • SELinux Loadable Policy Modules.— http://sepolicy-server.sourceforge.net/index.php?page=modules • A presentation at the 2005 SELinux Symposium by Karl MacMillan.— http://sepolicy-server.sourceforge.net/files/2-PolicyManagement.pdf • James Morris. Getting Started with Multi-Category Security.— http://james-morris.livejournal.com/8228.html • Tresys Technology.— http://oss.tresys.com/projects/refpolicy
Традиционное обеспечение безопасности в Linux • Сам пользователь отвечает за состояние системы • Нет возможности гибко регулировать права доступа • Предоставление приложению избыточных прав • отсутствие разграничения прав доступа к некоторым важным объектам системы
Подсистема безопасности SELinux • Надстройка для расширения системы безопасности Linux • Реализует мандатную модель безопасности • Включает в себя модули ядра, разделяемые библиотеки для написания приложений, использующих особенности SELinux, утилиты • Проект находится в стадии непрерывной разработки и новые возможности, улучшения вводятся достаточно часто
Новые модули SELinux • Loadable Policy Modules • Multi-Category Security • Reference Policy
Loadable Policy Modules • Существующие политики безопасности не вполне отвечают современным требованиям • Компанией Tresys Technology разрабатывалась подсистема загружаемых модулей политик (SELinux Loadable Policy Modules) с целью исправить существующие недостатки • Сейчас проект разрабатывается NSA
Loadable Policy Modules • Возможность динамического добавления и исключения политик приложений • Обновление существующих модулей • Полная совместимость с ядром системы • Поддержка инфраструктуры • Инфраструктура состоит из двух основных компонентов: инструментов для создания политик и оболочки для управления ими
Multi-Category Security • Модуль основан на дискреционной модели безопасности, с добавлением элементов из мандатной • Ядро MCS представляет собой набор из 256 категорий, которые могут быть присвоены каждому процессу
Reference Policy • Модуль разрабатывается Tresys Technology • Является попыткой реконструировать основную политику SELinux и представляет собой законченную политику • Призван облегчить поддержку и применение базовых политик безопасности, а также использование широкого набора различных приложений • Может быть использован и как базовая политика, и как средство для создания собственных политик в системе
Reference Policy Улучшения, реализованные в Reference Policy, условно можно разделить на две группы: • Улучшения в безопасности. • Улучшения функциональности. Три типа макросов: • интерфейса • шаблона • поддержки
Заключение В данной работе мною были рассмотрены и протестированы три модуля для подсистемы безопасности SELinux: Loadable Policy Modules, Multi-Category Security и Reference Policy Учитывая, что над проектом SELinux ведется активная работа, вдальнейшем хотелось бы продолжить изучение данной темы и рассмотреть не только уже существующие модули после их доработки, но и те, которые появятся.