SELinux

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 1. června 2018; kontroly vyžadují 9 úprav .

SELinux
SELinux Administration GUI na Fedoře 8
Typ	Bezpečnost
Vývojář	červená čepice
Zapsáno v	Xi
Operační systém	Komponenta linuxového jádra
První vydání	1998
Nejnovější verze	3.4 ( 18. května 2022 ) [2]
kandidát na propuštění	2.9-rc2 ( 28. února 2019 ) [1]
Licence	GNU GPL
webová stránka	selinuxproject.org
Mediální soubory na Wikimedia Commons

SELinux ( anglicky  Security-Enhanced Linux - Linux s vylepšeným zabezpečením) je implementace systému nucené kontroly přístupu , který může pracovat paralelně s klasickým systémem selektivní kontroly přístupu .

Stručný popis

Operační systém setrvává v systému selektivní kontroly přístupu a má zásadní omezení ve smyslu sdílení procesního přístupu ke zdrojům – přístup ke zdrojům je založen na přístupových právech uživatele. Jde o klasická práva na třech úrovních – vlastník, skupina vlastníků a další. rwx

V SELinuxu jsou přístupová práva určena samotným systémem pomocí speciálně definovaných politik. Zásady fungují na úrovni systémových volání a jsou vynucovány samotným jádrem (ale mohou být implementovány i na aplikační úrovni). SELinux funguje podle klasického bezpečnostního modelu Linuxu. Jinými slovy, nemůžete prostřednictvím SELinuxu povolit to, co je zakázáno prostřednictvím uživatelských nebo skupinových oprávnění. Zásady jsou popsány pomocí speciálního flexibilního jazyka pro popis přístupových pravidel. Ve většině případů jsou pravidla SELinuxu pro aplikace „transparentní“ a není třeba je upravovat. Některé distribuce obsahují přednastavené zásady, ve kterých lze práva určovat na základě shody mezi typy procesů (předmětu) a souboru (objektu) – to je hlavní mechanismus SELinuxu. Dvě další formy řízení přístupu jsou přístup na základě rolí a přístup založený na zabezpečení. Například „ DSP “, „tajné“, „přísně tajné“, „ OV “.

Nejjednodušší typ politiky, se kterým lze pracovat a udržovat, je takzvaná „cílená“ politika vyvinutá projektem Fedora . Tato zásada popisuje více než 200 procesů, které lze spustit v operačním systému. Vše, co není popsáno zásadou "cíl", se provádí v doméně (s typem) unconfined_t. Procesy běžící v této doméně nejsou chráněny SELinuxem. Všechny uživatelské aplikace třetích stran tak budou bez problémů fungovat v systému s „cílenou“ politikou v rámci klasických oprávnění systému selektivní kontroly přístupu.

Kromě „cílené“ politiky obsahují některé distribuce politiku s vrstveným bezpečnostním modelem (podporující model Bell-LaPadula ).

Třetí možnost politiky je „přísná“. Zde platí zásada „co není dovoleno, je zakázáno“ ( zásada nejmenších práv ). Tato politika je založena na referenční politice Tresys .

SELinux byl vyvinut americkou Národní bezpečnostní agenturou a poté byl jeho zdrojový kód zpřístupněn ke stažení.

Původní text  (anglicky)[ zobrazitskrýt] Od NSA Security-Enhanced Linux Team :

„NSA Security-Enhanced Linux je sada záplat linuxového jádra a některých utilit pro začlenění silné a flexibilní architektury povinného řízení přístupu (MAC) do hlavních subsystémů jádra. Poskytuje mechanismus pro vynucení oddělení informací na základě požadavků na důvěrnost a integritu, což umožňuje čelit hrozbám manipulace a obcházení mechanismů zabezpečení aplikací a umožňuje omezit škody, které mohou být způsobeny škodlivými nebo chybnými aplikacemi. Zahrnuje sadu vzorových konfiguračních souborů zásad zabezpečení navržených tak, aby splňovaly běžné obecné bezpečnostní cíle."

SELinux je součástí linuxového jádra (od verze 2.6).

SELinux také vyžaduje upravené verze některých nástrojů ( ps , ls a další), které poskytují podporu pro nové funkce jádra a podporu ze systému souborů.

Základní pojmy

• Doména je sada akcí, které může provádět jeden proces. V zásadě se jedná o akce, které proces potřebuje k provedení konkrétního úkolu.

• Role je kolekce několika domén.

• Kontext zabezpečení je kolekce všech atributů, které jsou spojeny s objekty a subjekty.

• Bezpečnostní politika je sada předdefinovaných pravidel, která řídí interakci rolí a domén.

Přehled LSM

LSM ( anglicky  Linux Security Modules - Linux security modules) jsou implementace ve formě zaváděcích modulů jádra. Primárně se LSM používají k podpoře řízení přístupu. LSM samy o sobě neposkytují systému žádné další zabezpečení, ale slouží pouze jako jakési rozhraní pro jeho podporu. Systém LSM zajišťuje implementaci funkcí interceptorů, které jsou uloženy ve struktuře bezpečnostní politiky, která pokrývá hlavní operace, které je třeba chránit. Řízení přístupu do systému se provádí díky nakonfigurovaným politikám.

Metody řízení přístupu

Většina operačních systémů má funkce a metody řízení přístupu, které zase určují, zda má entita na úrovni operačního systému (uživatel nebo program) přístup k určitému prostředku. Používají se následující metody řízení přístupu:

• Diskreční řízení přístupu ( DAC) .  Tato metoda implementuje omezení přístupu k objektům na základě skupin, do kterých patří. V systému Linux je tato metoda založena na standardním modelu řízení přístupu k souborům. Přístupová práva jsou definována pro tyto kategorie: uživatel (vlastník souboru), skupina (všichni uživatelé, kteří jsou členy skupiny), ostatní (všichni uživatelé, kteří nejsou vlastníkem souboru ani členy skupiny). Kromě toho jsou každé ze skupin udělena následující práva: práva k zápisu, čtení a spouštění.

• Povinná kontrola přístupu ( MAC) .  Hlavní podstatou této metody je stanovení určitých přístupových práv subjektu k určitým objektům. OS implementuje následující: program má pouze ty funkce, které potřebuje k plnění svých úkolů, a nic víc. Tato metoda má výhodu oproti předchozí; pokud je v programu nalezena zranitelnost, bude jeho přístup velmi omezený.

• Řízení přístupu na základě rolí ( RBAC ) .  Přístupová práva jsou implementována ve formě rolí vydávaných bezpečnostním systémem. Role představují určité pravomoci k provádění konkrétních akcí skupiny subjektů na objektech v systému. Tato zásada je vylepšením diskrečního řízení přístupu.

Vnitřní architektura SELinuxu

Na samém začátku svého vzhledu byl SELinux implementován jako patch. V tomto případě nebylo snadné nakonfigurovat bezpečnostní politiku. S příchodem mechanismů LSM se konfigurace a správa zabezpečení výrazně zjednodušila (mechanismy prosazování zásad a zabezpečení byly odděleny), SELinux byl implementován jako zásuvné moduly jádra. Před přístupem k vnitřním objektům operačního systému se změní kód jádra. To je realizováno pomocí speciálních funkcí ( zachycovače systémových volání ) , tzv. hákových funkcí .  Funkce interceptorů jsou uloženy v nějaké datové struktuře, jejich účelem je provádět určité bezpečnostní akce na základě předem stanovené politiky. Samotný modul obsahuje šest hlavních komponent: bezpečnostní server; přístupová vektorová cache ( angl. Access Vector Cache , AVC); tabulky síťového rozhraní; kód signálu upozornění sítě; jeho virtuální souborový systém (selinuxfs) a implementace funkcí interceptoru.  

• Mezipaměť přístupových vektorů se používá k ukládání do mezipaměti vypočítaných výsledků (ukládání předběžných rozhodnutí o řízení přístupu) přijatých z bezpečnostního serveru. To je nezbytné, aby se minimalizovala režie výkonu bezpečnostních mechanismů SELinux. Rozhraní mezipaměti přístupových vektorů pro bezpečnostní server je definováno v souboru záhlaví include/avc_ss.h.

• Tabulka síťových rozhraní mapuje síťová zařízení do kontextu zabezpečení. Je vyžadována podpora samostatných tabulek, protože pole zabezpečení síťového zařízení bylo z projektu odstraněno. Síťová zařízení jsou přidána do tabulky, když jsou poprvé spatřena funkcemi interceptoru (jimi spatřena) a odstraněna z ní, když je zařízení nakonfigurováno nebo je znovu načtena bezpečnostní politika kvůli rekonfiguraci. To je možné díky funkcím zpětného volání , které zaznamenávají změny konfigurace zařízení a opětovné načítání bezpečnostních zásad. Kód tabulky síťového rozhraní lze nalézt v souboru netif.c.

• Kód události síťového upozornění umožňuje modulu SELinux upozornit procesy operačního systému, když byla znovu nahrána bezpečnostní politika. Tato upozornění používá uživatelský prostor k udržení kompatibility jádra. Tento mechanismus je možný díky knihovně SELinux. Kód události síťového oznámení lze nalézt v souboru netlink.c.

• Systém pseudosouborů SELinux exportuje rozhraní API zásad serveru zabezpečení do procesů operačního systému. Rozhraní API jádra SELinux byla původně rozdělena do tří komponent (atributy procesu, atributy souborů, politika API) jako součást změn verze jádra Linuxu 2.6. SELinux také poskytuje podporu zásad API volání. Všechny tři API komponenty nového jádra jsou zapouzdřeny v knihovně SELinux API ( libselinux). Kód pseudo souborového systému lze nalézt v souboru selinuxfs.c.

• Implementace funkcí interceptoru řídí zabezpečení informací související s vnitřními objekty jádra a implementaci řízení přístupu SELinux pro každou operaci uvnitř jádra. Funkce zachycovače volají bezpečnostní server a mezipaměť přístupových vektorů, aby získali rozhodnutí o bezpečnostní politice a aplikovali tato rozhodnutí na označení a řízení objektů jádra. Kód pro tyto funkce zavěšení je umístěn v souboru hooks.ca datové struktury spojené s interními objekty jsou definovány v souboru include/objsec.h.

Funkce

• Různé zásady v závislosti na úkolech
• Jasná implementace politiky
• Podpora aplikací požadujících vynucení zásad a řízení přístupu těchto aplikací (například úloha spuštěná v cronu se správným kontextem)
• SELinux nezávislé specifické politiky a mezinárodní jazykové politiky
• Nezávislé specifické formáty bezpečnostních štítků a jejich obsah
• Jednotlivé štítky a ovládací prvky pro objekty a služby jádra (démoni)
• Ukládání dostupných řešení do mezipaměti pro efektivitu
• Schopnost měnit politiku
• Různá opatření na ochranu integrity systému a důvěrnosti dat
• Velmi flexibilní politiky
• Správa procesu inicializace, dědění práv, spouštění programů
• Správa systémů souborů, složek, souborů a otevřených popisovačů
• Správa soketů, zpráv (kernel a systém) a síťových rozhraní

Implementace

SELinux je komerčně dostupný jako součást Red Hat Enterprise Linux od verze 4.

Podporované distribuce Linuxu v komunitě:

1. CentOS
2. Debian
3. ArchLinux (neoficiální)
4. Fedora Core od verze 2
5. Zatvrzelý Gentoo
6. openSUSE od verze 11.1
7. ubuntu
8. RÓZA
9. ALT Linux SPT 6

Jiné systémy

SELinux je jedním z několika možných přístupů k omezení akcí prováděných nainstalovaným softwarem.

Systém AppArmor dělá v podstatě totéž jako SELinux. Jedním z důležitých rozdílů mezi těmito systémy je způsob identifikace objektů souborového systému: AppArmor používá úplnou cestu, SELinux jde hlouběji pomocí inode .

Tyto rozdíly se objevují ve dvou případech:

• pokud má soubor druhý, nezabezpečený pevný odkaz , pak AppArmor umožní přístup přes něj a SELinux odmítne, protože pevné odkazy odkazují na stejný inode
• pokud aplikace znovu vytvoří chráněný soubor, který se používá poměrně často a vede ke změně inodu, pak bude AppArmor nadále odmítat přístup a SELinux to povolí

Těmto problémům se lze v obou systémech vyhnout použitím výchozí zásady „žádný přístup“.

Viz také

• LIDS - Linux Intrusion Detection System
• Národní bezpečnostní agentura Spojených států
• TrustedBSD
• AppArmor

Poznámky

1. ↑ https://github.com/SELinuxProject/selinux/commit/ee1809f453038f7f34719f3fbd448893853d473f
2. ↑ Vydání 3.4 – 2022.

Literatura

• Anatomie SELinuxu. Architektura a implementace Archivováno 31. prosince 2010 na Wayback Machine developerWorks, Tim Jones, 23. 10. 2008
• SELinux: Body Armor for the Corporate Penguin Archivováno 26. září 2011 v časopise Wayback Machine Hacker Magazine

Odkazy

• SEBSD Archivováno 24. února 2022 na Wayback Machine
• SEDarwin Archivováno 7. května 2021 na Wayback Machine
• SELinux od NSA Archivováno 14. února 2019 na Wayback Machine Nejkomplexnější informace o projektu SELinux
• Dokumentace pro uživatele a vývojáře Archivováno 22. prosince 2011 na Wayback Machine (selinuxproject.org )
• SELinux na Debianu Archivováno 2. prosince 2011 na Wayback Machine
• Konfigurace SELinuxu pro vaše potřeby Archivováno 23. prosince 2011 na Wayback Machine
• Linux s vylepšeným zabezpečením. Uživatelská příručka Archivována 2. června 2012 na Wayback Machine (rus) Dokumentace Fedora Linux