Всем привет! Специально для студентов курса «Безопасность Linux» Мы подготовили перевод официального FAQ проекта SELinux. Нам кажется, что этот перевод может быть полезен не только студентам, поэтому делимся им с вами.
Мы постарались ответить на некоторые наиболее часто задаваемые вопросы о проекте SELinux. В настоящее время вопросы разделены на две основные категории.
Все вопросы и ответы даны на странице часто задаваемых вопросов .
Обзор
Обзор
- Что такое Linux с улучшенной безопасностью?
Linux с улучшенной безопасностью (SELinux) — это эталонная реализация архитектуры безопасности Flask для гибкого принудительного контроля доступа.
Он был создан, чтобы продемонстрировать полезность гибких механизмов контроля доступа и то, как такие механизмы можно добавить в операционную систему.
Впоследствии архитектура Flask была интегрирована в Linux и портирована на несколько других систем, включая операционную систему Solaris, операционную систему FreeBSD и ядро Darwin, что породило широкий спектр сопутствующих работ. Архитектура Flask обеспечивает общую поддержку для применения многих типов политик принудительного контроля доступа, в том числе основанных на концепциях соблюдения типов, контроля доступа на основе ролей и многоуровневой безопасности.
- Что Linux с повышенной безопасностью обеспечивает такого, чего не может предложить стандартный Linux?
Ядро Linux с повышенной безопасностью устанавливает строгие политики контроля доступа, которые ограничивают пользовательские программы и системные серверы минимальным набором привилегий, необходимых им для выполнения своей работы.
Благодаря этому ограничению способность этих пользовательских программ и системных демонов причинять вред в случае взлома (например, в результате переполнения буфера или неправильной конфигурации) снижается или устраняется.
Этот механизм ограничения работает независимо от традиционных механизмов контроля доступа Linux. Он не имеет концепции суперпользователя «root» и не разделяет хорошо известные недостатки традиционных механизмов безопасности Linux (например, зависимость от двоичных файлов setuid/setgid).
Безопасность немодифицированной системы Linux зависит от правильности ядра, всех привилегированных приложений и каждой их конфигурации.
Проблема в любой из этих областей может привести к компрометации всей системы.
Напротив, безопасность модифицированной системы, основанной на ядре Linux с повышенной безопасностью, зависит в первую очередь от правильности ядра и конфигурации его политики безопасности.
Хотя проблемы с корректностью приложений или конфигурацией могут привести к ограниченному риску взлома отдельных пользовательских программ и системных демонов, они не представляют угрозы безопасности для других пользовательских программ и системных демонов или для безопасности системы в целом.
- Для чего это?
Новые функции Linux с улучшенной безопасностью предназначены для обеспечения разделения информации на основе требований конфиденциальности и целостности.
Они предназначены для предотвращения чтения данных и программ процессами, изменения данных и программ, обхода механизмов безопасности приложений, выполнения ненадежных программ или вмешательства в другие процессы в нарушение политик безопасности системы.
Они также помогают ограничить потенциальный ущерб, который может быть нанесен вредоносным ПО или вредоносным ПО.
Они также должны быть полезны для обеспечения того, чтобы пользователи с разными разрешениями безопасности могли использовать одну и ту же систему для доступа к разным типам информации с разными требованиями безопасности без ущерба для этих требований.
- Как я могу получить копию?
Многие дистрибутивы Linux включают поддержку SELinux либо встроенную в качестве функции по умолчанию, либо в качестве дополнительного пакета.
Основной код пользовательского пространства SELinux доступен по адресу GitHub .
Конечным пользователям обычно следует использовать пакеты, входящие в их дистрибутив.
- Что включено в ваш релиз?
Версия SELinux АНБ включает основной код пользовательской среды SELinux. Поддержка SELinux уже включена в основную версию ядра Linux 2.6, доступную на kernel.org. Основной пользовательский код SELinux состоит из библиотеки для управления бинарной политикой (libsepol), компилятора политики (checkpolicy), библиотеки для приложений безопасности (libselinux), библиотеки инструментов управления политиками (libsemanage) и нескольких утилит, связанных с политиками ( политикикореутилс).
В дополнение к ядру с поддержкой SELinux и базовому пользовательскому коду для использования SELinux вам понадобится политика и некоторые исправленные пакеты пользовательского пространства SELinux. Полис можно получить по адресу Проект эталонной политики SELinux .
- Могу ли я установить Hardened Linux в существующую систему Linux?
Да, вы можете установить только модификации SELinux в существующую систему Linux или можете установить дистрибутив Linux, который уже включает поддержку SELinux. SELinux состоит из ядра Linux с поддержкой SELinux, основного набора библиотек и утилит, некоторых модифицированных пользовательских пакетов и конфигурации политики.
Чтобы установить его в существующей системе Linux, в которой отсутствует поддержка SELinux, вы должны иметь возможность скомпилировать программное обеспечение, а также иметь другие необходимые системные пакеты.
Если ваш дистрибутив Linux уже включает поддержку SELinux, вам не нужно собирать или устанавливать версию SELinux АНБ.
- Насколько совместим Linux с улучшенной безопасностью с немодифицированным Linux?
Security Enhanced Linux обеспечивает двоичную совместимость с существующими приложениями Linux и существующими модулями ядра Linux, но некоторые модули ядра могут потребовать модификации для правильного взаимодействия с SELinux. Эти две категории совместимости подробно обсуждаются ниже:
- Совместимость приложений
SELinux обеспечивает двоичную совместимость с существующими приложениями.
Мы расширили структуры данных ядра, включив в них новые атрибуты безопасности и новые вызовы API для приложений безопасности.
Однако мы не изменили какие-либо структуры данных, видимые для приложений, и не изменили интерфейс каких-либо существующих системных вызовов, поэтому существующие приложения могут работать без изменений, если политика безопасности позволяет им работать.
- Совместимость модулей ядра
Первоначально SELinux обеспечивал встроенную совместимость только для существующих модулей ядра; приходилось перекомпилировать такие модули с измененными заголовками ядра, чтобы уловить новые поля безопасности, добавленные в структуры данных ядра.
Поскольку LSM и SELinux теперь интегрированы в основное ядро Linux 2.6, SELinux теперь обеспечивает бинарную совместимость с существующими модулями ядра.
Однако некоторые модули ядра могут плохо взаимодействовать с SELinux без изменений.
Например, если модуль ядра напрямую выделяет и устанавливает объект ядра без использования обычных функций инициализации, то объекту ядра может не хватать надлежащей информации о безопасности.
В некоторых модулях ядра также может отсутствовать надлежащий контроль безопасности их работы; Любые существующие вызовы функций ядра или функций разрешений также будут запускать проверки разрешений SELinux, но для реализации политик MAC могут потребоваться более детальные или дополнительные элементы управления.
Linux с повышенной безопасностью не должен вызывать проблем совместимости с обычными системами Linux, если все необходимые операции разрешены конфигурацией политики безопасности.
- Совместимость приложений
SELinux обеспечивает двоичную совместимость с существующими приложениями.
- Каковы цели примера конфигурации политики безопасности?
На высоком уровне цель состоит в том, чтобы продемонстрировать гибкость и безопасность принудительного контроля доступа и предоставить простую рабочую систему с минимальными изменениями в приложениях.
На более низком уровне политика преследует ряд целей, описанных в документации по политике.
Эти цели включают в себя контроль доступа к необработанным данным, защиту целостности ядра, системного программного обеспечения, информации о конфигурации системы и системных журналов, ограничение потенциального ущерба, который может быть нанесен в результате использования уязвимости в процессе, требующем привилегий, защиту привилегированных процессов от выполнения вредоносных программ.
код, защита роли администратора и домена от входа в систему без аутентификации пользователя, предотвращение вмешательства обычных пользовательских процессов в систему или процессы администратора, а также защита пользователей и администраторов от использования уязвимостей в их браузере с помощью вредоносного мобильного кода.
- Почему Linux был выбран в качестве базовой платформы?
Linux был выбран в качестве платформы для первоначальной эталонной реализации этой работы из-за его растущего успеха и открытой среды разработки.
Linux предоставляет прекрасную возможность продемонстрировать, что эта функциональность может быть успешной в операционной системе хоста и в то же время способствовать безопасности широко используемой системы.
Платформа Linux также предоставляет прекрасную возможность для этой работы получить максимально широкий обзор и может служить основой для дополнительных исследований безопасности другими энтузиастами.
- Почему вы проделали эту работу? Национальная исследовательская лаборатория информационной безопасности Агентство национальной безопасности отвечает за исследования и передовые разработки технологий, необходимых для того, чтобы АНБ могло предоставлять решения, продукты и услуги информационной безопасности для информационных инфраструктур, имеющих решающее значение для интересов национальной безопасности США.
Создание жизнеспособной и безопасной операционной системы остается важной исследовательской задачей.
Наша цель — создать эффективную архитектуру, которая обеспечивает необходимую поддержку безопасности, запускает программы максимально прозрачно для пользователя и привлекательна для поставщиков.
Мы считаем, что важным шагом в достижении этой цели является демонстрация того, как механизмы принудительного контроля доступа могут быть успешно интегрированы в базовую операционную систему.
- Как это связано с предыдущими исследованиями АНБ по ОС?
Исследователи из Национальной исследовательской лаборатории по обеспечению безопасности информации АНБ и корпорации Secure Computing Corporation (SCC) разработали мощную и гибкую архитектуру контроля доступа на основе Type Enforcement — механизма, впервые разработанного для системы LOCK. АНБ и SCC разработали два прототипа архитектуры на базе Маха: DTMach и DTOS ( http://www.cs.utah.edu/flux/dtos/ ).
Затем АНБ и SCC работали с исследовательской группой Flux в Университете Юты над переносом архитектуры в исследовательскую операционную систему Fluke. В ходе миграции архитектура была усовершенствована для лучшей поддержки динамических политик безопасности.
Эта улучшенная архитектура получила название Flask ( http://www.cs.utah.edu/flux/flask/ ).
Теперь АНБ интегрировало архитектуру Flask в операционную систему Linux, чтобы донести эту технологию до более широкого сообщества разработчиков и пользователей.
- Является ли Linux с повышенной безопасностью надежной операционной системой?
Фраза «Надежная операционная система» обычно относится к операционной системе, которая обеспечивает достаточную поддержку нескольких уровней безопасности и проверки концепции для удовлетворения определенного набора государственных требований.
Linux с улучшенной безопасностью включает в себя полезные идеи этих систем, но фокусируется на обеспечении контроля доступа.
Первоначальная цель разработки Linux с повышенной безопасностью заключалась в создании полезных функций, обеспечивающих ощутимые преимущества в области безопасности в широком диапазоне реальных сред для демонстрации технологии.
SELinux сам по себе не является доверенной операционной системой, но он предоставляет критически важную функцию безопасности — принудительный контроль доступа, — необходимую доверенной операционной системе.
SELinux интегрирован в дистрибутивы Linux, которые были оценены в соответствии с маркированным профилем защиты безопасности.
Информацию о протестированных и проверенных продуктах можно найти на сайте http://niap-ccevs.org/ .
- Она действительно защищена?
Понятие защищенной системы включает в себя множество атрибутов (например, физическую безопасность, безопасность персонала и т. д.), а Linux с адресами повышенной безопасности — лишь очень узкий набор этих атрибутов (то есть принудительное управление доступом в операционной системе).
.
Другими словами, «безопасная система» означает достаточно безопасную, чтобы защитить некоторую информацию в реальном мире от реального противника, о котором предупреждается владелец и/или пользователь информации.
Security Enhanced Linux предназначен только для демонстрации необходимых элементов управления в современной операционной системе, такой как Linux, и поэтому сам по себе вряд ли соответствует какому-либо интересному определению безопасной системы.
Мы считаем, что технология, продемонстрированная в Linux с повышенной безопасностью, будет полезна людям, создающим безопасные системы.
- Что вы сделали для улучшения гарантии?
Целью этого проекта было добавление средств контроля исполнения с минимальными изменениями в Linux. Эта последняя цель сильно ограничивает то, что можно сделать для улучшения гарантий, поэтому не было никакой работы, направленной на улучшение гарантий Linux. С другой стороны, улучшения основаны на предыдущей работе по проектированию архитектур безопасности с высоким уровнем безопасности, и большинство этих принципов проектирования перенесены в Linux с улучшенной безопасностью.
- Будет ли CCEVS оценивать Linux с повышенной безопасностью?
Linux с улучшенной безопасностью сам по себе не предназначен для решения всего набора проблем безопасности, представленных профилем безопасности.
Хотя можно было бы оценить только текущую функциональность, мы считаем, что такая оценка будет иметь ограниченную ценность.
Однако мы работали с другими, чтобы включить эту технологию в дистрибутивы Linux, которые прошли оценку, и дистрибутивы, находящиеся на стадии оценки.
Информацию о протестированных и проверенных продуктах можно найти на сайте http://niap-ccevs.org/ .
- Пробовали ли вы исправить какие-либо уязвимости?
Нет, в ходе работы мы не искали и не нашли уязвимостей.
Мы сделали лишь самый минимум, чтобы добавить наши новые механизмы.
- Одобрена ли эта система для использования правительством? Linux с повышенной безопасностью не имеет специального или дополнительного разрешения для использования в государственных органах по сравнению с любой другой версией Linux. Linux с повышенной безопасностью не имеет специального или дополнительного разрешения для использования в государственных органах по сравнению с любой другой версией Linux.
- Чем это отличается от других инициатив?
Linux с улучшенной безопасностью имеет четко определенную архитектуру для гибкого обеспечения контроля доступа, которая была экспериментально проверена с использованием нескольких прототипов систем (DTMach, DTOS, Flask).
Были проведены подробные исследования способности архитектуры поддерживать широкий спектр политик безопасности.
http://www.cs.utah.edu/flux/dtos/ И http://www.cs.utah.edu/flux/flask/ .
Архитектура обеспечивает детальный контроль над многими абстракциями ядра и службами, которые не контролируются другими системами.
Некоторые из отличительных характеристик системы Linux с повышенной безопасностью:
- Четкое отделение политики от прав приложений
- Четко определенные интерфейсы политики
- Независимость от конкретных политик и языков политики
- Независимость от конкретных форматов и содержания меток безопасности.
- Отдельные метки и элементы управления для объектов и служб ядра.
- Кэширование решений о доступе для повышения эффективности
- Поддержка изменений политики
- Контроль над инициализацией процесса, наследованием и выполнением программы.
- Управление файловыми системами, каталогами, файлами и описаниями открытых файлов.
- Управление сокетами, сообщениями и сетевыми интерфейсами
- Контроль за использованием «Возможностей»
- Каковы лицензионные ограничения для этой системы?
Весь исходный код найден на сайте https://www.nsa.gov , распространяется на тех же условиях, что и исходный исходный код. Например, доступные здесь патчи для ядра Linux и патчи для многих существующих утилит выпускаются на условиях Стандартная общественная лицензия GNU (GPL) .
- Существует ли экспортный контроль? Linux с повышенной безопасностью не имеет дополнительных элементов управления экспортом по сравнению с любой другой версией Linux.
- Планирует ли АНБ использовать его внутри страны?
По понятным причинам АНБ не комментирует оперативное применение.
- Изменяет ли заявление о гарантиях Secure Computing Corporation от 26 июля 2002 г.
позицию АНБ о том, что SELinux предоставляется на условиях Стандартной общественной лицензии GNU? Позиция АНБ не изменилась.
АНБ по-прежнему считает, что условия Стандартной общественной лицензии GNU регулируют использование, копирование, распространение и модификацию SELinux. См.
Пресс-релиз АНБ от 2 января 2001 г.
.
- Поддерживает ли АНБ программное обеспечение с открытым исходным кодом?
Инициативы АНБ по обеспечению безопасности программного обеспечения охватывают как проприетарное, так и открытое программное обеспечение, и в нашей исследовательской деятельности мы успешно использовали как проприетарные, так и открытые модели.
Работа АНБ по улучшению безопасности программного обеспечения мотивируется одним простым соображением: использовать наши ресурсы, чтобы предоставить клиентам АНБ наилучшие возможные варианты безопасности в их наиболее широко используемых продуктах.
Целью исследовательской программы АНБ является разработка технологических достижений, которыми можно будет поделиться с сообществом разработчиков программного обеспечения через различные механизмы доставки.
АНБ не поддерживает и не продвигает какой-либо конкретный программный продукт или бизнес-модель.
Скорее, АНБ способствует обеспечению безопасности.
- Поддерживает ли АНБ Linux?
Как отмечалось выше, АНБ не поддерживает и не продвигает какой-либо конкретный программный продукт или платформу; АНБ только помогает улучшить безопасность.
Архитектура Flask, продемонстрированная в эталонной реализации SELinux, была перенесена на несколько других операционных систем, включая Solaris, FreeBSD и Darwin, перенесена на гипервизор Xen и применена к таким приложениям, как X Window System, GConf, D-BUS и ПостгреSQL. Концепции архитектуры Flask широко применимы к широкому спектру систем и сред.
Сотрудничество
- Как мы планируем взаимодействовать с сообществом Linux?
У нас есть набор веб-страниц на NSA.gov , который будет служить нашим основным способом публикации информации о Linux с улучшенной безопасностью.
Если вы заинтересованы в Linux с повышенной безопасностью, мы рекомендуем вам присоединиться к списку рассылки разработчиков, просмотреть исходный код и оставить свой отзыв (или код).
Чтобы присоединиться к списку рассылки разработчиков, см.
Страница списка рассылки разработчиков SELinux .
- Кто может помочь?
SELinux теперь поддерживается и разрабатывается сообществом программного обеспечения Linux с открытым исходным кодом.
- Финансирует ли АНБ какую-либо последующую работу?
АНБ в настоящее время не рассматривает предложения о дальнейшей работе.
- Какой тип поддержки доступен?
Мы намерены отвечать на вопросы через список рассылки [email protected], но, возможно, мы не сможем ответить на все вопросы, касающиеся конкретного сайта.
- Кто помог? Что они сделали?
Прототип Linux с повышенной безопасностью был разработан АНБ совместно с исследовательскими партнерами NAI Labs, Secure Computing Corporation (SCC) и MITRE Corporation. После первоначального публичного релиза последовало множество других материалов.
Посмотреть список участников .
- Как я могу узнать больше? Мы рекомендуем вам посетить наши веб-страницы, прочитать документацию и предыдущие исследовательские работы, а также принять участие в нашем списке рассылки [email protected].
-
Бурунди
19 Oct, 24 -
Психолингвистика
19 Oct, 24 -
Дания: Страна Победившего Здравого Смысла
19 Oct, 24 -
Барби: Кукла-Шпион Для Вашего Ребенка
19 Oct, 24
