Linux с улучшенной безопасностью

Модуль безопасности ядра Linux

Security-Enhanced Linux ( SELinux ) — это модуль безопасности ядра Linux , который обеспечивает механизм поддержки политик безопасности контроля доступа , включая обязательный контроль доступа (MAC).

SELinux — это набор модификаций ядра и инструментов пользовательского пространства, которые были добавлены в различные дистрибутивы Linux . Его архитектура стремится отделить реализацию решений по безопасности от политики безопасности и оптимизирует объем программного обеспечения, задействованного в реализации политики безопасности. ^{[3] [4]} Ключевые концепции, лежащие в основе SELinux, можно проследить до нескольких более ранних проектов Агентства национальной безопасности США (АНБ).

Обзор

Команда NSA Security-enhanced Linux Team описывает NSA SELinux как ^[5]

набор исправлений для ядра Linux и утилит для обеспечения сильной, гибкой, обязательной архитектуры управления доступом (MAC) в основные подсистемы ядра. Он обеспечивает улучшенный механизм для обеспечения разделения информации на основе требований конфиденциальности и целостности, что позволяет устранять угрозы взлома и обхода механизмов безопасности приложений и позволяет ограничить ущерб, который может быть нанесен вредоносными или неисправными приложениями. Он включает набор образцов файлов конфигурации политики безопасности, разработанных для достижения общих общих целей безопасности.

Ядро Linux, интегрирующее SELinux, обеспечивает соблюдение политик обязательного контроля доступа, которые ограничивают пользовательские программы и системные службы, а также доступ к файлам и сетевым ресурсам. Ограничение привилегий до минимума, необходимого для работы, снижает или устраняет способность этих программ и демонов причинять вред в случае неисправности или компрометации (например, через переполнение буфера или неправильную конфигурацию). Этот механизм ограничения работает независимо от традиционных механизмов контроля доступа Linux ( дискреционных ). Он не имеет концепции суперпользователя «root» и не разделяет известные недостатки традиционных механизмов безопасности Linux, такие как зависимость от двоичных файлов setuid / setgid .

Безопасность «немодифицированной» системы Linux (системы без SELinux) зависит от корректности ядра, всех привилегированных приложений и каждой из их конфигураций. Ошибка в любой из этих областей может привести к компрометации всей системы. Напротив, безопасность «модифицированной» системы (основанной на ядре SELinux) зависит в первую очередь от корректности ядра и конфигурации его политики безопасности. Хотя проблемы с корректностью или конфигурацией приложений могут допускать ограниченную компрометацию отдельных пользовательских программ и системных демонов, они не обязательно представляют угрозу безопасности других пользовательских программ и системных демонов или безопасности системы в целом.

С точки зрения пуриста, SELinux предоставляет гибрид концепций и возможностей, взятых из обязательного контроля доступа, обязательного контроля целостности , контроля доступа на основе ролей (RBAC) и архитектуры принудительного применения типов . Сторонние инструменты позволяют создавать различные политики безопасности.

История

Самая ранняя работа, направленная на стандартизацию подхода, обеспечивающего обязательный и дискреционный контроль доступа (MAC и DAC) в вычислительной среде UNIX (точнее, POSIX), может быть отнесена к рабочей группе Trusted UNIX (TRUSIX) Агентства национальной безопасности , которая заседала с 1987 по 1991 год и опубликовала одну Радужную книгу (#020A), а также разработала формальную модель и связанный с ней прототип доказательств оценки (#020B), который в конечном итоге не был опубликован.

SELinux был разработан для демонстрации ценности обязательных элементов управления доступом сообществу Linux и того, как такие элементы управления можно добавить в Linux. Первоначально исправления, составляющие SELinux, должны были быть явно применены к исходному коду ядра Linux; SELinux был объединен с основной веткой ядра Linux в серии 2.6 ядра Linux.

NSA, первоначальный основной разработчик SELinux, выпустил первую версию для сообщества разработчиков открытого исходного кода под лицензией GNU GPL 22 декабря 2000 года. ^[6] Программное обеспечение было объединено с основным ядром Linux 2.6.0-test3, выпущенным 8 августа 2003 года. Другие значительные участники включают Red Hat , Network Associates , Secure Computing Corporation , Tresys Technology и Trusted Computer Solutions. Экспериментальные порты реализации FLASK /TE были сделаны доступными через проект TrustedBSD для операционных систем FreeBSD и Darwin .

Security-Enhanced Linux реализует Flux Advanced Security Kernel (FLASK). Такое ядро ​​содержит архитектурные компоненты, прототипом которых является операционная система Fluke. Они обеспечивают общую поддержку для реализации многих видов политик обязательного контроля доступа, включая те, которые основаны на концепциях принудительного применения типов , контроля доступа на основе ролей и многоуровневой безопасности . FLASK, в свою очередь, был основан на DTOS, распределенной доверенной операционной системе, производной от Mach, а также на Trusted Mach, исследовательском проекте Trusted Information Systems , который оказал влияние на разработку и реализацию DTOS. ^{[ необходима цитата ]}

Оригинальные и внешние авторы

Полный список первоначальных и внешних участников SELinux размещался на сайте NSA до тех пор, пока обслуживание не прекратилось в 2009 году. Следующий список воспроизводит оригинал, сохраненный Internet Archive Wayback Machine. Объем их вкладов был указан на странице и был опущен для краткости, но к нему можно получить доступ через архивную копию. ^[7]

• Агентство национальной безопасности (АНБ)
• Лаборатории сетевых ассоциаций (NAI Labs)
• Корпорация MITRE
• Корпорация безопасных вычислений (SCC)
• Мэтт Андерсон
• Райан Бергауэр
• Бастиан Бланк
• Томас Блехер
• Джошуа Бриндл
• Рассел Кокер
• Джон Деннис
• Джанак Десаи
• Ульрих Дреппер
• Лоренцо Эрнандес Гарсия-Йерро
• Даррел Годдель
• Карстен Громанн
• Стив Грабб
• Иван Гюрдиев
• Серж Халлин
• Чад Хансон
• Йорг Хох
• Трент Йегер
• Дастин Киркланд
• Кайгай Кохей
• Пол Крумвиде
• Джой Латтен
• Том Лондон
• Карл Макмиллан
• Брайан Мэй
• Франк Майер
• Тодд Миллер
• Роланд Макграт
• Пол Мур
• Джеймс Моррис
• Юичи Накамура
• Грег Норрис
• Эрик Пэрис
• Крис ПеБенито
• Красная Шапочка
• Петре Родан
• Шон Сэвидж
• Чад Селлерс
• Рохелио Серрано-младший.
• Джастин Смит
• Манодж Шривастава
• Тресис Технологии
• Майкл Томпсон
• Надежные компьютерные решения
• Том Фогт
• Рейно Валлин
• Дэн Уолш
• Колин Уолтерс
• Марк Вестерман
• Дэвид А. Уиллер
• Венкат Йеккирала
• Кэтрин Чжан

Пользователи, политики и контексты безопасности

Пользователи и роли SELinux не обязательно должны быть связаны с фактическими системными пользователями и ролями. Для каждого текущего пользователя или процесса SELinux назначает трехстрочный контекст, состоящий из имени пользователя, роли и домена (или типа). Эта система более гибкая, чем обычно требуется: как правило, большинство реальных пользователей используют одно и то же имя пользователя SELinux, а все управление доступом осуществляется через третий тег — домен. Обстоятельства, при которых процессу разрешается входить в определенный домен, должны быть настроены в политиках. Команда runconпозволяет запускать процесс в явно указанном контексте (пользователь, роль и домен), но SELinux может отклонить переход, если он не одобрен политикой.

Файлы, сетевые порты и другое оборудование также имеют контекст SELinux, состоящий из имени, роли (используется редко) и типа. В случае файловых систем сопоставление между файлами и контекстами безопасности называется маркировкой. Маркировка определяется в файлах политики, но может быть скорректирована вручную без изменения политик. Типы оборудования довольно подробны, например, bin_t(все файлы в папке /bin) или postgresql_port_t(порт PostgreSQL, 5432). Контекст SELinux для удаленной файловой системы можно указать явно во время монтирования.

SELinux добавляет -Zпереключатель к командам оболочки ls, ps, и некоторым другим, позволяя просматривать контекст безопасности файлов или процессов.

Типичные правила политики состоят из явных разрешений, например, какими доменами должен обладать пользователь для выполнения определенных действий с заданной целью (чтение, выполнение или, в случае сетевого порта, привязка или подключение) и т. д. Возможны также более сложные сопоставления, включающие роли и уровни безопасности.

Типичная политика состоит из файла сопоставления (маркировки), файла правил и файла интерфейса, которые определяют переход домена. Эти три файла должны быть скомпилированы вместе с инструментами SELinux для создания одного файла политики. Полученный файл политики можно загрузить в ядро, чтобы сделать его активным. Загрузка и выгрузка политик не требует перезагрузки. Файлы политики либо пишутся вручную, либо могут быть сгенерированы с помощью более удобного для пользователя инструмента управления SELinux. Обычно они сначала тестируются в разрешительном режиме, где нарушения регистрируются, но разрешены. audit2allowИнструмент можно использовать позже для создания дополнительных правил, которые расширяют политику, позволяя ограничивать все законные действия приложения.

Функции

Возможности SELinux включают в себя:

• Четкое разделение политики и правоприменения
• Четко определенные интерфейсы политики
• Поддержка приложений, запрашивающих политику и обеспечивающих контроль доступа (например, crond, запускающий задания в правильном контексте)
• Независимость конкретных политик и языков политики
• Независимость от форматов и содержания конкретных защитных этикеток
• Индивидуальные метки и элементы управления для объектов и служб ядра
• Поддержка изменений политики
• Отдельные меры по защите целостности системы (доменного типа) и конфиденциальности данных ( многоуровневая безопасность )
• Гибкая политика
• Управление инициализацией и наследованием процессов, а также выполнением программ
• Управление файловыми системами, каталогами, файлами и открытыми файловыми дескрипторами
• Управление сокетами, сообщениями и сетевыми интерфейсами
• Контроль за использованием «возможностей»
• Кэшированная информация о решениях о доступе через Access Vector Cache (AVC) ^[8]
• Политика запрета по умолчанию (все, что явно не указано в политике, запрещено) ^{[9] [10] [11]}

Принятие

sestatusотображение статуса SELinux в системе

SELinux реализован в Android с версии 4.3. ^[12]

Среди бесплатных поддерживаемых сообществом дистрибутивов Linux Fedora была одним из первых, кто принял ее, включая поддержку по умолчанию с Fedora Core 2. Другие дистрибутивы включают ее поддержку, например, Debian с версии 9 Stretch release ^[13] и Ubuntu с версии 8.04 Hardy Heron. ^[14] Начиная с версии 11.1, openSUSE содержит «базовую поддержку» SELinux. ^[15] SUSE Linux Enterprise 11 включает SELinux в качестве «технологической предварительной версии». ^[16]

SELinux популярен в системах на основе контейнеров Linux , таких как CoreOS Container Linux и rkt. ^[17] Он полезен в качестве дополнительного контроля безопасности, помогающего усилить изоляцию между развернутыми контейнерами и их хостом.

SELinux доступен с 2005 года как часть Red Hat Enterprise Linux (RHEL) версии 4 и всех будущих выпусков. Это присутствие также отражено в соответствующих версиях производных систем, таких как CentOS , Scientific Linux , AlmaLinux и Rocky Linux . Поддерживаемая политика в RHEL4 — это целевая политика, которая направлена ​​на максимальную простоту использования и, таким образом, не является такой ограничительной, как могла бы быть. Планируется, что будущие версии RHEL будут иметь больше целей в целевой политике, что будет означать более ограничительные политики.

Сценарии использования

SELinux может потенциально контролировать, какие действия система разрешает каждому пользователю, процессу и демону, с очень точными спецификациями. Он используется для ограничения демонов, таких как движки баз данных или веб-серверы, которые имеют четко определенные права доступа к данным и действия. Это ограничивает потенциальный вред от ограниченного демона, который становится скомпрометированным.

Утилиты командной строки включают в себя: ^[18]chcon , ^[19]restorecon , ^[20]restorecond , ^[21]runcon , ^[22]secon , ^[23]fixfiles , ^[24]setfiles , ^[25]load_policy , ^[26]booleans , ^[27]getsebool , ^[28]setsebool , ^[29] togglesebool^[30]setenforce , semodule, postfix-nochroot, check-selinux-installation, semodule_package, checkmodule, selinux-config-enforcing, ^[31]selinuxenabled , ^[32] и selinux-policy-upgrade^[33]

Примеры

Чтобы перевести SELinux в принудительный режим:

setenforce 1

Чтобы запросить статус SELinux:

getenforce

Сравнение с AppArmor

SELinux представляет собой один из нескольких возможных подходов к проблеме ограничения действий, которые может выполнять установленное программное обеспечение. Другая популярная альтернатива называется AppArmor и доступна на платформах SUSE Linux Enterprise Server (SLES), openSUSE и Debian . AppArmor был разработан как компонент ныне несуществующей платформы Immunix Linux . Поскольку AppArmor и SELinux радикально отличаются друг от друга, они образуют различные альтернативы для управления программным обеспечением. В то время как SELinux заново изобретает определенные концепции, чтобы предоставить доступ к более выразительному набору вариантов политики, AppArmor был разработан, чтобы быть простым, расширяя ту же административную семантику, которая используется для DAC, до уровня обязательного контроля доступа.

Есть несколько ключевых отличий:

• Одно важное отличие заключается в том, что AppArmor идентифицирует объекты файловой системы по имени пути, а не по inode. Это означает, что, например, файл, который недоступен, может стать доступным в AppArmor, если на него создана жесткая ссылка, в то время как SELinux запретит доступ через вновь созданную жесткую ссылку.
  • В результате можно сказать, что AppArmor не является системой принудительного соблюдения типов , поскольку файлам не назначается тип; вместо этого на них просто ссылаются в файле конфигурации.
• SELinux и AppArmor также существенно различаются по способу администрирования и интеграции в систему. ^[34]
• Поскольку он пытается воссоздать традиционные элементы управления DAC с применением MAC-уровня, набор операций AppArmor также значительно меньше тех, которые доступны в большинстве реализаций SELinux. Например, набор операций AppArmor состоит из: чтения, записи, добавления, выполнения, блокировки и ссылки. ^[35] Большинство реализаций SELinux будут поддерживать число операций на порядки больше этого. Например, SELinux обычно поддерживает те же самые разрешения, но также включает элементы управления для mknod, привязки к сетевым сокетам, неявного использования возможностей POSIX, загрузки и выгрузки модулей ядра, различных средств доступа к общей памяти и т. д.
• В AppArmor нет элементов управления для категорического ограничения возможностей POSIX. Поскольку текущая реализация возможностей не содержит понятия субъекта для операции (только субъект и операция), обычно задачей уровня MAC является предотвращение привилегированных операций с файлами за пределами принудительной области контроля субъекта (т. е. «Песочницы»). AppArmor может предотвратить изменение собственной политики и предотвратить монтирование/демонтирование файловых систем, но не делает ничего, чтобы помешать пользователям выходить за пределы их одобренных областей контроля.
  • Например, может быть полезно, чтобы сотрудники службы поддержки изменяли владельца или разрешения на определенные файлы, даже если они ими не владеют (например, на файловом ресурсе отдела). Администратор не хочет предоставлять пользователю(ям) права root на ящике, поэтому он дает им CAP_FOWNERили CAP_DAC_OVERRIDE. В SELinux администратор (или поставщик платформы) может настроить SELinux так, чтобы запретить все возможности для пользователей, которые в противном случае не были бы ограничены, а затем создать ограниченные домены, в которые сотрудник сможет перейти после входа в систему, и которые могут использовать эти возможности, но только для файлов соответствующего типа. ^{[ необходима цитата ]}
• В AppArmor нет понятия многоуровневой безопасности, поэтому нет жесткого применения BLP или Biba . ^{[ необходима цитата ]} .
• Конфигурация AppArmor выполняется исключительно с использованием обычных плоских файлов. SELinux (по умолчанию в большинстве реализаций) использует комбинацию плоских файлов (используемых администраторами и разработчиками для написания понятных человеку политик перед их компиляцией) и расширенных атрибутов.
• SELinux поддерживает концепцию «удалённого сервера политики» (настраиваемого через /etc/selinux/semanage.conf) как альтернативный источник для конфигурации политики. Централизованное управление AppArmor обычно значительно усложняется, поскольку администраторам приходится выбирать между инструментами развертывания конфигурации, которые запускаются как root (чтобы разрешить обновления политики), и ручной настройкой на каждом сервере.

Похожие системы и усовершенствования

Изоляция процессов также может быть достигнута с помощью таких механизмов, как виртуализация ; например, проект OLPC в своей первой реализации ^[36] изолировал отдельные приложения в облегченных Vservers . Кроме того, АНБ приняло некоторые концепции SELinux в Security-Enhanced Android . ^[37]

General Dynamics разрабатывает и распространяет PitBull Trusted Operating System ^[38] , многоуровневое улучшение безопасности (MLS) для Red Hat Enterprise Linux .

Multi-Category Security (MCS) — это усовершенствование SELinux для Red Hat Enterprise Linux , позволяющее пользователям маркировать файлы категориями, чтобы еще больше ограничить доступ с помощью дискреционного контроля доступа и принудительного применения типов. Категории предоставляют дополнительные отсеки в пределах уровней чувствительности, используемых многоуровневой безопасностью (MLS). ^[39]

Смотрите также

• Linux-портал

• AppArmor  – модуль безопасности ядра Linux
• Astra Linux  – российская компьютерная операционная система на базе Linux
• Red Star OS  – северокорейская операционная система на базе Linux
• Контроль доступа на основе набора правил (RSBAC)  – фреймворк контроля доступа для ядра Linux
• Упрощенное обязательное ядро ​​контроля доступа  – модуль безопасности ядра LinuxСтраницы, отображающие краткие описания целей перенаправления
• Solaris Trusted Extensions  – расширения безопасности для операционной системы Solaris
• Tomoyo  – модуль безопасности ядра LinuxСтраницы, отображающие краткие описания целей перенаправления
• TrustedBSD  – Бесплатная и открытая Unix-подобная операционная системаСтраницы, отображающие краткие описания целей перенаправления
• безопасность Unix
• Qubes OS  – операционная система на базе Linux, ориентированная на безопасность

Ссылки

1. "Linux с улучшенной безопасностью доступен на сайте АНБ - MARC". MARC . Получено 24 декабря 2018 г. .
2. "SELinux userspace release 3.6". Проект SELinux. 2023-12-14 . Получено 2024-03-16 .
3. "SELinux Frequently Asked Questions (FAQ) - NSA/CSS". Агентство национальной безопасности. Архивировано из оригинала 2018-09-18 . Получено 2013-02-06 .
4. Лоскокко, Питер; Смолли, Стивен (февраль 2001 г.). «Интеграция гибкой поддержки политик безопасности в операционную систему Linux» (PDF) .
5. "Security-Enhanced Linux - NSA/CSS". Агентство национальной безопасности. 2009-01-15. Архивировано из оригинала 2020-10-22 . Получено 2021-04-21 .
6. Сравните "Агентство национальной безопасности делится улучшениями безопасности в Linux". Пресс-релиз АНБ . Форт-Джордж Г. Мид, Мэриленд: Центральная служба безопасности Агентства национальной безопасности. 2001-01-02. Архивировано из оригинала 2018-09-18 . Получено 2021-04-21 . АНБ с радостью сообщает, что оно разработало и представляет общественности прототип версии операционной системы Linux с улучшенной безопасностью.
7. "Участники SELinux". Архивировано из оригинала 2008-10-18.
8. Проект документации Fedora (2010). Руководство пользователя Fedora 13 Security-Enhanced Linux. Fultus Corporation. стр. 18. ISBN 978-1-59682-215-3. Получено 2012-02-22 . Решения SELinux, такие как разрешение или запрет доступа, кэшируются. Этот кэш известен как Access Vector Cache (AVC). Кэширование решений уменьшает частоту проверки правил SELinux, что повышает производительность.
9. "SELinux/Краткое введение - Gentoo Wiki". wiki.gentoo.org .
10. "Начало работы с SELinux". Руководства и учебники Linode .
11. "Обзор NB - SELinux Wiki". selinuxproject.org .
12. "Безопасный Linux в Android". Android Open Source Project . Получено 2016-01-31 .
13. "SELinux". debian.org .
14. "Как установить SELinux на Ubuntu 8.04 "Hardy Heron"". Учебники Ubuntu .
15. "Новости openSUSE". 20 августа 2008 г.
16. "Заметки о выпуске SUSE Linux Enterprise Desktop 11". Novell . Получено 2013-02-06 .
17. "SELinux на CoreOS". Документация CoreOS .
18. "SELinux/Commands - FedoraProject" . Получено 2015-11-25 .
19. "chcon". Linuxcommand.org. Архивировано из оригинала 2004-10-24 . Получено 2013-02-06 .
20. "restorecon(8) - страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
21. "restorecond(8) - страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
22. "runcon(1) - страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
23. "secon(1) - Страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
24. "fixfiles(8): исправить контексты безопасности SELinux файлов - страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
25. "setfiles(8): set file SELinux security contexts - страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
26. "load_policy(8) - Страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
27. "booleans(8) - страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
28. "getsebool(8): логическое значение SELinux - страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
29. "setsebool(8): установить логическое значение SELinux - страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
30. "togglesebool(8) - страница руководства Linux". Linux.die.net . Получено 2013-02-06 .
31. "Ubuntu Manpage: selinux-config-enforcing - измените /etc/selinux/config, чтобы установить enforcing". Canonical Ltd. Архивировано из оригинала 20.12.2012 . Получено 06.02.2013 .
32. "Ubuntu Manpage: selinuxenabled - инструмент для использования в скриптах оболочки для определения того,". Canonical Ltd. Архивировано из оригинала 2013-02-09 . Получено 2013-02-06 .
33. "Ubuntu Manpage: selinux-policy-upgrade - обновить модули в политике SE Linux". Canonical Ltd. Архивировано из оригинала 2012-04-04 . Получено 2013-02-06 .
34. "Фоны SELinux". SELinux . Руководство по безопасности. SUSE.
35. "apparmor.d - синтаксис профилей безопасности для AppArmor". Архивировано из оригинала 2013-10-17.
36. "Радуга". laptop.org .
37. "SELinux Related Work". NSA.gov . Архивировано из оригинала 2018-02-20 . Получено 2016-08-23 .
38. General Dynamics. «Надежная операционная система PitBull».
39. Red Hat, Inc. «49.4. Многокатегорийная безопасность (MCS)».

Внешние ссылки

• Официальный сайт
• Linux с улучшенной безопасностью в Агентстве национальной безопасности в Архиве Интернета
• SELinux на GitHub
• Уолш, Дэниел Дж. (13 ноября 2013 г.). «Наглядное руководство по применению политики SELinux». Opensource.com.