1 / 16

Новые модули для подсистемы безопасности SElinux:

Новые модули для подсистемы безопасности SElinux: Loadable Policy Modules, Multi-Category Security, Reference Policy Иванов Павел Алексеевич XLIII Всероссийская конференция по проблемам математики, информатики, физики и химии МОСКВА 2007 г. Содержание. Список источников

agamemnon-elena
Download Presentation

Новые модули для подсистемы безопасности SElinux:

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Новые модули для подсистемы безопасности SElinux: Loadable Policy Modules, Multi-Category Security, Reference Policy Иванов Павел Алексеевич XLIII Всероссийская конференция по проблемам математики, информатики, физики и химии МОСКВА 2007 г.

  2. Содержание • Список источников • Подсистема безопасности SELinux • Новые модули SELinux • Заключение

  3. Список источников • SELinux Loadable Policy Modules.— http://sepolicy-server.sourceforge.net/index.php?page=modules • A presentation at the 2005 SELinux Symposium by Karl MacMillan.— http://sepolicy-server.sourceforge.net/files/2-PolicyManagement.pdf • James Morris. Getting Started with Multi-Category Security.— http://james-morris.livejournal.com/8228.html • Tresys Technology.— http://oss.tresys.com/projects/refpolicy

  4. Традиционное обеспечение безопасности в Linux • Сам пользователь отвечает за состояние системы • Нет возможности гибко регулировать права доступа • Предоставление приложению избыточных прав • отсутствие разграничения прав доступа к некоторым важным объектам системы

  5. Подсистема безопасности SELinux • Надстройка для расширения системы безопасности Linux • Реализует мандатную модель безопасности • Включает в себя модули ядра, разделяемые библиотеки для написания приложений, использующих особенности SELinux, утилиты • Проект находится в стадии непрерывной разработки и новые возможности, улучшения вводятся достаточно часто

  6. Новые модули SELinux • Loadable Policy Modules • Multi-Category Security • Reference Policy

  7. Loadable Policy Modules • Существующие политики безопасности не вполне отвечают современным требованиям • Компанией Tresys Technology разрабатывалась подсистема загружаемых модулей политик (SELinux Loadable Policy Modules) с целью исправить существующие недостатки • Сейчас проект разрабатывается NSA

  8. Loadable Policy Modules • Возможность динамического добавления и исключения политик приложений • Обновление существующих модулей • Полная совместимость с ядром системы • Поддержка инфраструктуры • Инфраструктура состоит из двух основных компонентов: инструментов для создания политик и оболочки для управления ими

  9. Loadable Policy Modules

  10. Multi-Category Security • Модуль основан на дискреционной модели безопасности, с добавлением элементов из мандатной • Ядро MCS представляет собой набор из 256 категорий, которые могут быть присвоены каждому процессу

  11. Multi-Category Security

  12. Reference Policy • Модуль разрабатывается Tresys Technology • Является попыткой реконструировать основную политику SELinux и представляет собой законченную политику • Призван облегчить поддержку и применение базовых политик безопасности, а также использование широкого набора различных приложений • Может быть использован и как базовая политика, и как средство для создания собственных политик в системе

  13. Reference Policy Улучшения, реализованные в Reference Policy, условно можно разделить на две группы: • Улучшения в безопасности. • Улучшения функциональности. Три типа макросов: • интерфейса • шаблона • поддержки

  14. Reference Policy

  15. Заключение В данной работе мною были рассмотрены и протестированы три модуля для подсистемы безопасности SELinux: Loadable Policy Modules, Multi-Category Security и Reference Policy Учитывая, что над проектом SELinux ведется активная работа, вдальнейшем хотелось бы продолжить изучение данной темы и рассмотреть не только уже существующие модули после их доработки, но и те, которые появятся.

  16. Спасибо за внимание

More Related