SELinux

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2018. június 1-jén áttekintett verziótól ; az ellenőrzések 9 szerkesztést igényelnek .

SELinux
SELinux Adminisztrációs GUI a Fedora 8 rendszeren
Típusú	Biztonság
Fejlesztő	piros kalap
Beírva	Xi
Operációs rendszer	Linux kernel komponens
Első kiadás	1998
legújabb verzió	3.4 ( 2022. május 18. ) [2]
felszabadító jelölt	2.9-rc2 ( 2019. február 28. ) [1]
Engedély	GNU GPL
Weboldal	selinuxproject.org
Médiafájlok a Wikimedia Commons oldalon

A SELinux ( angolul  Security-Enhanced Linux – Linux fokozott biztonsággal) egy kényszerített hozzáférés-vezérlő rendszer megvalósítása , amely párhuzamosan működhet a klasszikus szelektív beléptetőrendszerrel .

Rövid leírás

A szelektív hozzáférés-vezérlő rendszeren belül maradva az operációs rendszer alapvető korlátokkal rendelkezik az erőforrásokhoz való folyamathoz való hozzáférés megosztása tekintetében - az erőforrásokhoz való hozzáférés a felhasználói hozzáférési jogokon alapul. Ezek klasszikus jogok rwxhárom szinten - tulajdonos, tulajdonosi csoport és mások.

A SELinuxban a hozzáférési jogokat maga a rendszer határozza meg speciálisan meghatározott házirendek segítségével. A házirendek rendszerhívási szinten működnek, és maga a kernel kényszeríti ki őket (de megvalósíthatók alkalmazásszinten is). A SELinux a klasszikus Linux biztonsági modell szerint működik. Más szavakkal, nem engedélyezheti a SELinuxon keresztül azt, amit a felhasználói vagy csoportos engedélyek tiltanak. A házirendek leírása a hozzáférési szabályok leírására szolgáló speciális rugalmas nyelven történik. A legtöbb esetben a SELinux szabályok "átláthatóak" az alkalmazások számára, és nincs szükség módosításra. Egyes disztribúciók olyan készenléti irányelveket tartalmaznak, amelyekben a jogok a folyamat (alany) és a fájl (objektum) típusok egyezése alapján határozhatók meg – ez a SELinux fő mechanizmusa. A hozzáférés-szabályozás két másik formája a szerepalapú hozzáférés és a biztonsági alapú hozzáférés. Például " DSP ", "titkos", "szigorúan titkos", " OV ".

A legkönnyebben használható és karbantartható házirend a Fedora projekt által kifejlesztett úgynevezett „célzott” házirend . A házirend több mint 200 olyan folyamatot ír le, amelyek futhatnak az operációs rendszeren. Minden, amit a "cél" házirend nem ír le, a tartományban történik (típussal) unconfined_t. Az ebben a tartományban futó folyamatokat nem védi a SELinux. Így minden harmadik féltől származó felhasználói alkalmazás probléma nélkül fog működni egy „célzott” házirenddel rendelkező rendszerben a szelektív beléptetőrendszer klasszikus engedélyein belül.

A „célzott” házirend mellett egyes disztribúciók tartalmaznak egy réteges biztonsági modellt is ( a Bell-LaPadula modellt támogatva ).

A harmadik szakpolitikai lehetőség a „szigorú”. Itt az „ami nem megengedett, az tilos” ( a legkisebb jogok elve ) elve érvényesül. A szabályzat a Tresys Reference Policy-n alapul .

A SELinuxot az Egyesült Államok Nemzetbiztonsági Ügynöksége fejlesztette ki , majd a forráskódját letölthetővé tették.

Eredeti szöveg  (angol)[ showelrejt] Az NSA biztonsággal továbbfejlesztett Linux csapatától :

"Az NSA Security Enhanced Linux a Linux kernel és néhány segédprogram javításainak készlete, amelyek egy erős, rugalmas kötelező hozzáférés-vezérlési (MAC) architektúrát építenek be a kernel fő alrendszereibe. Mechanizmust biztosít az információk titkossági és integritási követelményeken alapuló elkülönítésének kikényszerítésére, amely lehetővé teszi az alkalmazásbiztonsági mechanizmusok manipulálásával és megkerülésével kapcsolatos fenyegetések kezelését, és lehetővé teszi a rosszindulatú vagy hibás alkalmazások által okozott károk korlátozását. Tartalmaz olyan minta biztonsági házirend-konfigurációs fájlokat, amelyeket úgy terveztek, hogy megfeleljenek a közös, általános célú biztonsági céloknak."

A SELinux benne van a Linux kernelben (a 2.6-os verzió óta).

Ezenkívül a SELinux bizonyos segédprogramok ( ps , ls és mások) módosított verzióit is megköveteli, amelyek támogatják az új kernelfunkciókat és a fájlrendszer támogatását.

Alapfogalmak

• A tartomány olyan műveletek halmaza, amelyeket egy folyamat végrehajthat. Alapvetően ezek azok a műveletek, amelyekre egy folyamatnak szüksége van egy adott feladat elvégzéséhez.

• A szerepkör több tartomány gyűjteménye.

• A biztonsági kontextus az objektumokhoz és alanyokhoz társított összes attribútum gyűjteménye.

• A biztonsági házirend előre meghatározott szabályok összessége, amely szabályozza a szerepek és tartományok interakcióját.

Az LSM áttekintése

Az LSM ( angolul  Linux Security Modules – Linux biztonsági modulok) betölthető kernelmodulok formájában valósul meg. Elsősorban az LSM-eket a hozzáférés-vezérlés támogatására használják. Az LSM-ek önmagukban nem nyújtanak további biztonságot a rendszernek, csak egyfajta támogatási felületként szolgálnak. Az LSM rendszer az elfogó funkciók megvalósítását biztosítja, amelyeket a védelemre szoruló fő műveleteket lefedő biztonságpolitikai struktúrában tárolnak. A rendszerhez való hozzáférés szabályozása a konfigurált házirendeknek köszönhetően történik.

Hozzáférés-szabályozási módszerek

A legtöbb operációs rendszer rendelkezik hozzáférés-vezérlési szolgáltatásokkal és módszerekkel, amelyek viszont meghatározzák, hogy az operációs rendszer szintjén lévő entitás (felhasználó vagy program) hozzáfér-e egy adott erőforráshoz. A következő hozzáférés-szabályozási módszerek használatosak:

• Diszkrecionális hozzáférés-vezérlés ( DAC) .  Ez a módszer az objektumokhoz való hozzáférés korlátozását valósítja meg azon csoportok alapján, amelyekhez tartoznak. Linuxon ez a módszer a szabványos fájlhozzáférés-vezérlési modellen alapul. A hozzáférési jogok a következő kategóriákhoz vannak meghatározva: felhasználó (a fájl tulajdonosa), csoport (minden felhasználó, aki a csoport tagja), mások (minden olyan felhasználó, aki nem a fájl tulajdonosa és nem tagja a csoportnak). Ezen túlmenően mindegyik csoport a következő jogokkal rendelkezik: írási, olvasási és végrehajtási jogok.

• Kötelező hozzáférés-vezérlés ( MAC) .  Ennek a módszernek az a lényege, hogy az alany bizonyos hozzáférési jogait bizonyos objektumokhoz hozzák létre. Az operációs rendszer a következőket valósítja meg: a program csak azokat a funkciókat tartalmazza, amelyekre szüksége van a feladatok elvégzéséhez, és semmi több. Ennek a módszernek van egy előnye az előzőhöz képest; ha egy programban sebezhetőséget találnak, akkor a hozzáférése nagyon korlátozott lesz.

• Szerep alapú hozzáférés-vezérlés ( RBAC ) .  A hozzáférési jogok a biztonsági rendszer által kiadott szerepek formájában valósulnak meg. A szerepek bizonyos jogosítványokat jelentenek az alanyok egy csoportja által a rendszer tárgyain végzett konkrét műveletek végrehajtására. Ez a házirend a diszkrecionális hozzáférés-szabályozás továbbfejlesztése.

A SELinux belső architektúrája

Megjelenésének legelején a SELinuxot patchként implementálták. Ebben az esetben nem volt könnyű konfigurálni a biztonsági házirendet. Az LSM-mechanizmusok megjelenésével a biztonsági konfigurálás és kezelés nagymértékben leegyszerűsödött (a szabályzat és a biztonsági végrehajtási mechanizmusok különváltak), a SELinux rendszermag-bővítményként valósult meg. Az operációs rendszer belső objektumaihoz való hozzáférés előtt a rendszermag kódja megváltozik. Ezt speciális funkciókkal ( rendszerhívás-elfogók ) , az úgynevezett hook függvényekkel valósítják meg .  Az elfogó funkciók valamilyen adatstruktúrában vannak tárolva, céljuk bizonyos biztonsági műveletek végrehajtása egy előre meghatározott szabályzat alapján. Maga a modul hat fő összetevőből áll: egy biztonsági szerver; hozzáférés vektoros gyorsítótárhoz ( eng. Access Vector Cache , AVC); hálózati interfész táblák; hálózati értesítési jel kódja; virtuális fájlrendszere ( selinuxfs ) és az elfogó funkciók megvalósítása.  

• A hozzáférési vektor gyorsítótár a biztonsági szervertől kapott számítási eredmények gyorsítótárazására szolgál (az azonnali hozzáférés-vezérlési döntések tárolása). Erre azért van szükség, hogy minimalizáljuk a SELinux biztonsági mechanizmusok teljesítményét. A biztonsági szerver hozzáférési vektor gyorsítótár felülete a fejlécfájlban van meghatározva include/avc_ss.h.

• A hálózati interfész tábla a hálózati eszközöket biztonsági kontextusokhoz rendeli hozzá. Külön táblák támogatása azért szükséges, mert a hálózati eszköz biztonsági mezőjét eltávolították a tervezésből. A hálózati eszközök akkor kerülnek a táblázatba, amikor az elfogó funkciók először látják őket (ezek észlelik), és eltávolítják onnan, amikor az eszközt konfigurálják, vagy a biztonsági házirendet újrakonfigurálják. Ez a visszahívási funkcióknak köszönhetően lehetséges, amelyek naplózzák az eszközkonfiguráció változásait és a biztonsági irányelvek újratöltését. A hálózati interfész tábla kódja a netif.c.

• A hálózati értesítési eseménykód lehetővé teszi a SELinux modul számára, hogy értesítse az operációs rendszer folyamatait a biztonsági szabályzat újratöltéséről. Ezeket az értesítéseket a userspace használja a kernelkompatibilitás fenntartására. Ez a mechanizmus a SELinux könyvtárnak köszönhetően lehetséges. A hálózati értesítési esemény kódja a netlink.c.

• A SELinux pszeudofájlrendszer exportálja a biztonsági szerver házirend API -jait az operációs rendszer folyamataiba. A SELinux kernel API-kat eredetileg három részre osztották (folyamatattribútumok, fájlattribútumok, API-házirend) a Linux 2.6-os kernelverzió változásainak részeként. A SELinux API-hívási szabályzat támogatást is nyújt. Az új kernel mindhárom API-összetevője a SELinux API-könyvtárban ( libselinux) van beágyazva. A pszeudo fájlrendszer kódja a selinuxfs.c.

• Az elfogó funkciók megvalósítása kezeli a belső kernelobjektumokhoz kapcsolódó információbiztonságot és a SELinux hozzáférés-vezérlés megvalósítását a kernelen belüli minden egyes művelethez. Az Interceptor függvények meghívják a biztonsági szervert és a hozzáférési vektor gyorsítótárat, hogy megkapják a biztonsági irányelveket, és alkalmazzák ezeket a döntéseket a kernelobjektumok megjelölésére és vezérlésére. Ezeknek a hook függvényeknek a kódja a fájlban található hooks.c, a belső objektumokhoz tartozó adatszerkezetek pedig a fájlban vannak meghatározva include/objsec.h.

Jellemzők

• A feladatoktól függően eltérő szabályzatok
• A politika egyértelmű végrehajtása
• Támogatás a házirendet kérő alkalmazásokhoz és ezeknek az alkalmazásoknak a hozzáférés-vezérlés végrehajtásához (például a megfelelő kontextussal a cron-ban elindított feladat)
• A SELinux független specifikus irányelvei és nemzetközi nyelvi szabályzatai
• Független speciális biztonsági címkeformátumok és azok tartalma
• Egyedi címkék és vezérlők kernelobjektumokhoz és szolgáltatásokhoz (démonok)
• Az elérhető megoldások gyorsítótárazása a hatékonyság érdekében
• Az irányelvek megváltoztatásának képessége
• Különféle intézkedések a rendszer integritásának és az adatok bizalmasságának védelmére
• Nagyon rugalmas politika
• Inicializálási folyamat menedzselése, jogok öröklése, programok indítása
• Fájlrendszerek, mappák, fájlok és nyitott fogantyúk kezelése
• Socketek, üzenetek (kernel és rendszer) és hálózati interfészek kezelése

Megvalósítások

A SELinux a Red Hat Enterprise Linux részeként a 4-es verzió óta elérhető a kereskedelemben.

Támogatott Linux disztribúciók a közösségben:

1. CentOS
2. Debian
3. ArchLinux (nem hivatalos)
4. Fedora Core a 2-es verzió óta
5. Edzett Gentoo
6. openSUSE a 11.1-es verzió óta
7. ubuntu
8. ROSA
9. ALT Linux SPT 6

Egyéb rendszerek

A SELinux egyike a számos lehetséges megközelítésnek a telepített szoftverek által végrehajtott műveletek korlátozására.

Az AppArmor rendszer nagyjából ugyanazt teszi, mint a SELinux. Az egyik fontos különbség ezek között a rendszerek között a fájlrendszer-objektumok azonosításának módja: az AppArmor a teljes elérési utat használja, a SELinux pedig az inode használatával mélyebbre megy .

Ezek a különbségek két esetben jelentkeznek:

• ha a fájlnak van egy második, nem biztonságos merev hivatkozása , akkor az AppArmor engedélyezi a hozzáférést azon keresztül, a SELinux pedig visszautasítja, mivel a merev hivatkozások ugyanarra az inode-ra utalnak.
• ha az alkalmazás újra létrehozza a védett fájlt, amelyet gyakran használnak, és az inode változásához vezet, akkor az AppArmor továbbra is megtagadja a hozzáférést, és a SELinux engedélyezi.

Ezek a problémák mindkét rendszeren elkerülhetők az alapértelmezett „nincs hozzáférés” házirend alkalmazásával.

Lásd még

• LIDS – Linux behatolásérzékelő rendszer
• Egyesült Államok Nemzetbiztonsági Ügynöksége
• TrustedBSD
• AppArmor

Jegyzetek

1. ↑ https://github.com/SELinuxProject/selinux/commit/ee1809f453038f7f34719f3fbd448893853d473f
2. ↑ Kiadás 3.4 – 2022.

Irodalom

• A SELinux anatómiája. Architektúra és megvalósítás Archiválva : 2010. december 31. a Wayback Machine developerWorks-ben, Tim Jones, 2008.10.23.
• SELinux: Body Armour for the Corporate Penguin Archiválva : 2011. szeptember 26., a Wayback Machine Hacker Magazine

Linkek

• SEBSD archiválva : 2022. február 24. a Wayback Machine -nél
• SEDarwin archiválva 2021. május 7-én a Wayback Machine -nél
• SELinux, NSA Archiválva : 2019. február 14. a Wayback Machine -nél A legátfogóbb információ a SELinux projektről
• Dokumentáció felhasználók és fejlesztők számára Archivált 2011. december 22-én a Wayback Machine -en (selinuxproject.org )
• SELinux on Debian Archiválva 2011. december 2-án a Wayback Machine -nél
• A SELinux konfigurálása az Ön igényei szerint Archiválva : 2011. december 23. a Wayback Machine -nél
• Linux fokozott biztonsággal. Felhasználói kézikönyv archiválva : 2012. június 2. a Wayback Machine (rus) Fedora Linux dokumentációjában