SELinux

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 1 iunie 2018; verificările necesită 9 modificări .

SELinux
GUI de administrare SELinux pe Fedora 8
Tip de	Siguranță
Dezvoltator	palarie rosie
Scris in	Xi
Sistem de operare	Componenta nucleului Linux
Prima editie	1998
ultima versiune	3.4 ( 18 mai 2022 ) [2]
eliberarea candidatului	2.9-rc2 ( 28 februarie 2019 ) [1]
Licență	GNU GPL
Site-ul web	selinuxproject.org
Fișiere media la Wikimedia Commons

SELinux ( English  Security-Enhanced Linux - Linux with improved security) este o implementare a unui sistem de control al accesului forțat care poate funcționa în paralel cu un sistem clasic de control al accesului selectiv .

Scurtă descriere

Rămânând într-un sistem selectiv de control al accesului , sistemul de operare are o limitare fundamentală în ceea ce privește partajarea accesului la resurse - accesul la resurse se bazează pe drepturile de acces ale utilizatorilor. Acestea sunt drepturi clasice rwxla trei niveluri - proprietar, grup de proprietari și altele.

În SELinux, drepturile de acces sunt determinate de sistemul însuși folosind politici special definite. Politicile operează la nivel de apel de sistem și sunt impuse de nucleul însuși (dar pot fi implementate și la nivel de aplicație). SELinux funcționează după modelul clasic de securitate Linux. Cu alte cuvinte, nu puteți permite prin SELinux ceea ce este interzis prin permisiunile de utilizator sau de grup. Politicile sunt descrise folosind un limbaj flexibil special pentru descrierea regulilor de acces. În cele mai multe cazuri, regulile SELinux sunt „transparente” pentru aplicații și nu este necesară nicio modificare. Unele distribuții includ politici gata de fabricație în care drepturile pot fi determinate pe baza unei potriviri între tipurile de proces (subiect) și fișier (obiect) - acesta este mecanismul principal al SELinux. Alte două forme de control al accesului sunt accesul bazat pe rol și accesul bazat pe securitate. De exemplu, „ DSP ”, „secret”, „secret”, „ OV ”.

Cel mai ușor tip de politică cu care se lucrează și se menține este așa-numita politică „țintită” dezvoltată de proiectul Fedora . Politica descrie peste 200 de procese care pot rula pe sistemul de operare. Tot ceea ce nu este descris de politica „țintă” se realizează în domeniul (cu tip) unconfined_t. Procesele care rulează în acest domeniu nu sunt protejate de SELinux. Astfel, toate aplicațiile utilizatorilor terți vor funcționa fără probleme într-un sistem cu o politică „țintită” în cadrul permisiunilor clasice ale unui sistem de control selectiv al accesului.

Pe lângă politica „țintită”, unele distribuții includ o politică cu un model de securitate stratificat (care acceptă modelul Bell-LaPadula ).

A treia opțiune de politică este „strictă”. Aici se aplică principiul „ceea ce nu este permis este interzis” ( principiul celor mai mici drepturi ). Politica se bazează pe Politica de referință Tresys .

SELinux a fost dezvoltat de Agenția Națională de Securitate din SUA , iar apoi codul sursă a fost pus la dispoziție pentru descărcare.

Text original  (engleză)[ arataascunde] De la echipa Linux îmbunătățită cu securitatea NSA :

„Linux îmbunătățit cu securitatea NSA este un set de corecții pentru nucleul Linux și unele utilitare pentru a încorpora o arhitectură de control al accesului obligatoriu (MAC) puternică și flexibilă în subsistemele majore ale nucleului. Acesta oferă un mecanism pentru a impune separarea informațiilor pe baza cerințelor de confidențialitate și integritate, care permite abordarea amenințărilor de falsificare și ocolire a mecanismelor de securitate a aplicațiilor și permite limitarea daunelor care pot fi cauzate de aplicații rău intenționate sau defecte. Include un set de exemple de fișiere de configurare a politicii de securitate concepute pentru a îndeplini obiectivele de securitate comune, cu scop general.”

SELinux este inclus în nucleul Linux (începând cu versiunea 2.6).

De asemenea, SELinux necesită versiuni modificate ale unor utilitare ( ps , ls și altele) care oferă suport pentru noile funcții ale nucleului și suport din sistemul de fișiere.

Concepte de bază

• Un domeniu este un set de acțiuni pe care le poate efectua un proces. Practic, acestea sunt acțiunile de care un proces are nevoie pentru a îndeplini o anumită sarcină.

• Un rol este o colecție de mai multe domenii.

• Un context de securitate este colecția tuturor atributelor care sunt asociate cu obiecte și subiecte.

• O politică de securitate este un set de reguli predefinite care guvernează interacțiunea rolurilor și domeniilor.

Prezentare generală a LSM

LSM ( English  Linux Security Modules - Linux security modules) sunt implementate sub formă de module kernel încărcate. În primul rând, LSM-urile sunt folosite pentru a sprijini controlul accesului. În sine, LSM-urile nu oferă sistemului nicio securitate suplimentară, ci servesc doar ca un fel de interfață pentru sprijinirea acestuia. Sistemul LSM asigură implementarea funcțiilor interceptoare, care sunt stocate într-o structură de politică de securitate care acoperă principalele operațiuni care trebuie protejate. Controlul accesului la sistem se realizează datorită politicilor configurate.

Metode de control al accesului

Majoritatea sistemelor de operare au caracteristici și metode de control al accesului care, la rândul lor, determină dacă o entitate la nivel de sistem de operare (utilizator sau program) poate accesa o anumită resursă. Sunt utilizate următoarele metode de control al accesului:

• Controlul accesului discreționar ( DAC) .  Această metodă implementează restricția accesului la obiecte în funcție de grupurile cărora le aparțin. Pe Linux, această metodă se bazează pe modelul standard de control al accesului la fișiere. Drepturile de acces sunt definite pentru următoarele categorii: utilizator (proprietar al fișierului), grup (toți utilizatorii care sunt membri ai grupului), alții (toți utilizatorii care nu sunt nici proprietarul fișierului, nici membrii grupului). Mai mult, fiecăreia dintre grupuri i se acordă următoarele drepturi: drepturi de scriere, de citire și de executare.

• Controlul accesului obligatoriu ( MAC) .  Esența principală a acestei metode este de a stabili anumite drepturi de acces ale subiectului la anumite obiecte. Sistemul de operare implementează următoarele: programul are doar acele caracteristici de care are nevoie pentru a-și îndeplini sarcinile și nimic mai mult. Această metodă are un avantaj față de cea anterioară; dacă se găsește o vulnerabilitate într-un program, atunci accesul acestuia va fi foarte limitat.

• Controlul accesului bazat pe roluri ( RBAC ) .  Drepturile de acces sunt implementate sub forma unor roluri emise de sistemul de securitate. Rolurile reprezintă anumite puteri de a efectua acțiuni specifice de către un grup de subiecți asupra obiectelor din sistem. Această politică este o îmbunătățire a controlului discreționar al accesului.

Arhitectura internă a SELinux

La începutul apariției sale, SELinux a fost implementat ca un patch. În acest caz, nu a fost ușor să configurați politica de securitate. Odată cu apariția mecanismelor LSM, configurarea și gestionarea securității au fost mult simplificate (politica și mecanismele de aplicare a securității au fost separate), SELinux a fost implementat ca plugin-uri de kernel. Înainte de a accesa obiectele interne ale sistemului de operare, codul kernelului este schimbat. Acest lucru este implementat folosind funcții speciale ( interceptoare de apeluri de sistem ) , așa-numitele funcții hook .  Funcțiile interceptoare sunt stocate într-o structură de date, scopul lor este de a efectua anumite acțiuni de securitate pe baza unei politici prestabilite. Modulul în sine include șase componente principale: un server de securitate; acces vector cache ( ing. Access Vector Cache , AVC); tabele de interfață de rețea; codul semnalului de notificare a rețelei; sistemul său de fișiere virtual (selinuxfs) și implementarea funcțiilor interceptoare.  

• Cache-ul vectorului de acces este utilizat pentru a stoca în cache rezultatele calculate (stocarea deciziilor de control al accesului de tip out-of-box) primite de la serverul de securitate. Acest lucru este necesar pentru a minimiza suprasarcina de performanță a mecanismelor de securitate SELinux. Interfața cache a vectorului de acces pentru serverul de securitate este definită în fișierul antet include/avc_ss.h.

• Tabelul de interfață de rețea mapează dispozitivele de rețea la contexte de securitate. Este necesar suportul pentru tabele separate deoarece câmpul de securitate al dispozitivului de rețea a fost eliminat din design. Dispozitivele de rețea sunt adăugate la tabel atunci când sunt văzute pentru prima dată de funcțiile interceptoare (depistate de acestea) și eliminate din acesta atunci când dispozitivul este configurat sau politica de securitate este reîncărcată din cauza reconfigurarii. Acest lucru este posibil datorită funcțiilor de apel invers care înregistrează modificările configurației dispozitivului și reîncărcările politicii de securitate. Codul tabelului interfeței de rețea poate fi găsit în netif.c.

• Codul evenimentului de notificare de rețea permite modulului SELinux să notifice procesele sistemului de operare atunci când o politică de securitate a fost reîncărcată. Aceste notificări sunt folosite de spațiul utilizatorului pentru a menține compatibilitatea nucleului. Acest mecanism este posibil datorită bibliotecii SELinux. Codul evenimentului de notificare de rețea poate fi găsit în netlink.c.

• Sistemul de pseudo-fișiere SELinux exportă API -urile politicii serverului de securitate către procesele sistemului de operare. API-urile kernel-ului SELinux au fost inițial împărțite în trei componente (atribute de proces, atribute de fișier, politică API) ca parte a modificărilor la versiunea kernel-ului Linux 2.6. SELinux oferă, de asemenea, suport pentru politica de apeluri API. Toate cele trei componente API ale noului kernel sunt încapsulate în biblioteca API SELinux ( libselinux). Codul pseudosistemului de fișiere poate fi găsit în fișierul selinuxfs.c.

• Implementarea funcțiilor de interceptor gestionează securitatea informațiilor asociată cu obiectele interne ale nucleului și implementarea controlului accesului SELinux pentru fiecare operațiune din interiorul nucleului. Funcțiile interceptoare apelează serverul de securitate și cache-ul vectorului de acces pentru a obține decizii de politică de securitate și aplică aceste decizii pentru a marca și controla obiectele nucleului. Codul pentru aceste funcții de cârlig este localizat în fișier hooks.c, iar structurile de date asociate cu obiectele interne sunt definite în fișier include/objsec.h.

Caracteristici

• Politici diferite în funcție de sarcini
• Implementarea clară a politicii
• Suport pentru aplicațiile care solicită aplicarea politicii și controlului accesului pentru aplicațiile respective (de exemplu, o sarcină începută în cron cu contextul corect)
• Politici specifice independente SELinux și politici lingvistice internaționale
• Formate independente de etichete de securitate și conținutul acestora
• Etichete și comenzi individuale pentru obiectele și serviciile nucleului (daemoni)
• Memorarea în cache a soluțiilor disponibile pentru eficiență
• Capacitatea de a schimba politicile
• Diverse măsuri pentru a proteja integritatea sistemului și confidențialitatea datelor
• Politici foarte flexibile
• Managementul procesului de inițializare, moștenirea drepturilor, lansarea programelor
• Gestionarea sistemelor de fișiere, folderelor, fișierelor și mânerelor deschise
• Gestionarea socket-urilor, a mesajelor (kernel și sistem) și a interfețelor de rețea

Implementări

SELinux este disponibil comercial ca parte a Red Hat Enterprise Linux începând cu versiunea 4.

Distribuții Linux acceptate în comunitate:

1. CentOS
2. Debian
3. ArchLinux (neoficial)
4. Fedora Core de la versiunea 2
5. Gentoo întărit
6. openSUSE începând cu versiunea 11.1
7. ubuntu
8. ROSA
9. ALT Linux SPT 6

Alte sisteme

SELinux este una dintre câteva abordări posibile pentru limitarea acțiunilor efectuate de software-ul instalat.

Sistemul AppArmor face aproape același lucru ca SELinux. O diferență importantă între aceste sisteme este modul în care sunt identificate obiectele sistemului de fișiere: AppArmor utilizează calea completă, SELinux merge mai adânc folosind inodul .

Aceste diferențe apar în două cazuri:

• dacă fișierul are o a doua legătură hard nesigură , atunci AppArmor va permite accesul prin intermediul acestuia, iar SELinux va refuza, deoarece linkurile hard se referă la același inod
• dacă aplicația recreează fișierul protejat, care este folosit destul de des și duce la o schimbare a inodului, atunci AppArmor va continua să refuze accesul, iar SELinux îi va permite

Aceste probleme pot fi evitate pe ambele sisteme prin aplicarea politicii implicite „fără acces”.

Vezi și

• LIDS - Sistem de detectare a intruziunilor Linux
• Agenția de Securitate Națională a Statelor Unite
• TrustedBSD
• AppArmor

Note

1. ↑ https://github.com/SELinuxProject/selinux/commit/ee1809f453038f7f34719f3fbd448893853d473f
2. ↑ Versiunea 3.4 - 2022.

Literatură

• Anatomia SELinux. Arhitectură și implementare Arhivat la 31 decembrie 2010 la Wayback Machine developerWorks, Tim Jones, 23.10.2008
• SELinux: Body Armor for the Corporate Penguin Arhivat 26 septembrie 2011 la Wayback Machine Hacker Magazine

Link -uri

• SEBSD Arhivat 24 februarie 2022 la Wayback Machine
• SEDarwin Arhivat pe 7 mai 2021 la Wayback Machine
• SELinux de către NSA Arhivat 14 februarie 2019 la Wayback Machine Cele mai cuprinzătoare informații despre proiectul SELinux
• Documentație pentru utilizatori și dezvoltatori Arhivat 22 decembrie 2011 la Wayback Machine (selinuxproject.org )
• SELinux pe Debian Arhivat la 2 decembrie 2011 la Wayback Machine
• Configurarea SELinux pentru nevoile dvs. Arhivat 23 decembrie 2011 la Wayback Machine
• Linux cu securitate îmbunătățită. Manual de utilizare Arhivat pe 2 iunie 2012 la documentația Fedora Linux Wayback Machine (rus).