Новые модули для подсистемы безопасности SElinux: Loadable Policy Modules, Multi-Category Security, Reference Policy Иванов Павел Алексеевич XLIII Всероссийская конференция по проблемам математики, информатики, физики и химии МОСКВА 2007 г.
Содержание Список источников Подсистема безопасности SELinux Новые модули SELinux Заключение
Список источников SELinux Loadable Policy Modules. server.sourceforge.net/index.php?page=modules A presentation at the 2005 SELinux Symposium by Karl MacMillan. James Morris. Getting Started with Multi-Category Security. Tresys Technology.
Традиционное обеспечение безопасности в Linux Сам пользователь отвечает за состояние системы Нет возможности гибко регулировать права доступа Предоставление приложению избыточных прав отсутствие разграничения прав доступа к некоторым важным объектам системы
Подсистема безопасности SELinux Надстройка для расширения системы безопасности Linux Реализует мандатную модель безопасности Включает в себя модули ядра, разделяемые библиотеки для написания приложений, использующих особенности SELinux, утилиты Проект находится в стадии непрерывной разработки и новые возможности, улучшения вводятся достаточно часто
Новые модули SELinux Loadable Policy Modules Multi-Category Security Reference Policy
Loadable Policy Modules Существующие политики безопасности не вполне отвечают современным требованиям Компанией Tresys Technology разрабатывалась подсистема загружаемых модулей политик (SELinux Loadable Policy Modules) с целью исправить существующие недостатки Сейчас проект разрабатывается NSA
Loadable Policy Modules Возможность динамического добавления и исключения политик приложений Обновление существующих модулей Полная совместимость с ядром системы Поддержка инфраструктуры Инфраструктура состоит из двух основных компонентов: инструментов для создания политик и оболочки для управления ими
Loadable Policy Modules
Multi-Category Security Модуль основан на дискреционной модели безопасности, с добавлением элементов из мандатной Ядро MCS представляет собой набор из 256 категорий, которые могут быть присвоены каждому процессу
Multi-Category Security
Reference Policy Модуль разрабатывается Tresys Technology Является попыткой реконструировать основную политику SELinux и представляет собой законченную политику Призван облегчить поддержку и применение базовых политик безопасности, а также использование широкого набора различных приложений Может быть использован и как базовая политика, и как средство для создания собственных политик в системе
Reference Policy Улучшения, реализованные в Reference Policy, условно можно разделить на две группы: Улучшения в безопасности. Улучшения функциональности. Три типа макросов: 1.интерфейса 2.шаблона 3.поддержки
Reference Policy
Заключение В данной работе мною были рассмотрены и протестированы три модуля для подсистемы безопасности SELinux: Loadable Policy Modules, Multi-Category Security и Reference Policy Учитывая, что над проектом SELinux ведется активная работа, вдальнейшем хотелось бы продолжить изучение данной темы и рассмотреть не только уже существующие модули после их доработки, но и те, которые появятся.
Спасибо за внимание