Новые модули для подсистемы безопасности SElinux: Loadable Policy Modules, Multi-Category Security, Reference Policy Иванов Павел Алексеевич XLIII Всероссийская конференция по проблемам математики, информатики, физики и химии МОСКВА 2007 г.

Содержание Список источников Подсистема безопасности SELinux Новые модули SELinux Заключение

Список источников SELinux Loadable Policy Modules. server.sourceforge.net/index.php?page=modules A presentation at the 2005 SELinux Symposium by Karl MacMillan. James Morris. Getting Started with Multi-Category Security. Tresys Technology.

Традиционное обеспечение безопасности в Linux Сам пользователь отвечает за состояние системы Нет возможности гибко регулировать права доступа Предоставление приложению избыточных прав отсутствие разграничения прав доступа к некоторым важным объектам системы

Подсистема безопасности SELinux Надстройка для расширения системы безопасности Linux Реализует мандатную модель безопасности Включает в себя модули ядра, разделяемые библиотеки для написания приложений, использующих особенности SELinux, утилиты Проект находится в стадии непрерывной разработки и новые возможности, улучшения вводятся достаточно часто

Новые модули SELinux Loadable Policy Modules Multi-Category Security Reference Policy

Loadable Policy Modules Существующие политики безопасности не вполне отвечают современным требованиям Компанией Tresys Technology разрабатывалась подсистема загружаемых модулей политик (SELinux Loadable Policy Modules) с целью исправить существующие недостатки Сейчас проект разрабатывается NSA

Loadable Policy Modules Возможность динамического добавления и исключения политик приложений Обновление существующих модулей Полная совместимость с ядром системы Поддержка инфраструктуры Инфраструктура состоит из двух основных компонентов: инструментов для создания политик и оболочки для управления ими

Loadable Policy Modules

Multi-Category Security Модуль основан на дискреционной модели безопасности, с добавлением элементов из мандатной Ядро MCS представляет собой набор из 256 категорий, которые могут быть присвоены каждому процессу

Multi-Category Security

Reference Policy Модуль разрабатывается Tresys Technology Является попыткой реконструировать основную политику SELinux и представляет собой законченную политику Призван облегчить поддержку и применение базовых политик безопасности, а также использование широкого набора различных приложений Может быть использован и как базовая политика, и как средство для создания собственных политик в системе

Reference Policy Улучшения, реализованные в Reference Policy, условно можно разделить на две группы: Улучшения в безопасности. Улучшения функциональности. Три типа макросов: 1.интерфейса 2.шаблона 3.поддержки

Reference Policy

Заключение В данной работе мною были рассмотрены и протестированы три модуля для подсистемы безопасности SELinux: Loadable Policy Modules, Multi-Category Security и Reference Policy Учитывая, что над проектом SELinux ведется активная работа, вдальнейшем хотелось бы продолжить изучение данной темы и рассмотреть не только уже существующие модули после их доработки, но и те, которые появятся.

Спасибо за внимание