Smack (программное обеспечение)

Модуль безопасности ядра Linux

Smack (полное название: Simplified Mandatory Access Control Kernel ) — это модуль безопасности ядра Linux , который защищает данные и взаимодействие процессов от вредоносных манипуляций с помощью набора пользовательских правил обязательного контроля доступа (MAC), при этом его главной целью является простота. ^[1] Он был официально объединен с выпуском Linux 2.6.25, ^[2] он был основным механизмом контроля доступа для мобильной операционной системы MeeGo . ^{[3] [4]} Он также используется для изолирования веб-приложений HTML5 в архитектуре Tizen , ^[5] в коммерческих решениях Wind River Linux для разработки встраиваемых устройств, ^{[6] [7]} в продуктах Philips Digital TV, ^[8] и в ОС Ostro от Intel для устройств IoT . ^[9]

С 2016 года Smack требуется во всех реализациях Automotive Grade Linux (AGL), где он совместно с другими возможностями Linux обеспечивает основу для инфраструктуры безопасности AGL. ^{[10] [11]}

Дизайн

Smack состоит из трех компонентов:

• Модуль ядра, реализованный как модуль безопасности Linux . Лучше всего работает с файловыми системами , поддерживающими расширенные атрибуты .
• Скрипт запуска, который обеспечивает наличие у файлов устройств правильных атрибутов Smack и загружает конфигурацию Smack.
• Набор патчей для пакета GNU Core Utilities , чтобы он знал о расширенных атрибутах файлов Smack. Также был создан набор аналогичных патчей для Busybox . SMACK не требует поддержки пользовательского пространства. ^[12]

Критика

Smack критиковали за то, что он был написан как новый модуль LSM вместо политики безопасности SELinux , которая может обеспечить эквивалентную функциональность. Такие политики SELinux были предложены, но ни одна не была продемонстрирована. Автор Smack ответил, что это не будет практичным из-за сложного синтаксиса конфигурации SELinux и философской разницы между дизайнами Smack и SELinux. ^[13]

Ссылки

• Портал бесплатного и открытого программного обеспечения
• Linux-портал

1. "Официальная документация SMACK из исходного дерева Linux". Архивировано из оригинала 2013-05-01.
2. Джонатан Корбет. "Еще немного о 2.6.25". Архивировано из оригинала 2012-11-02.
3. Джейк Эдж. "The MeeGo Security Framework". Архивировано из оригинала 2012-11-02.
4. Linux Foundation. "Архитектура безопасности MeeGo". Архивировано из оригинала 28.01.2013.
5. Онур Ачичмез, Эндрю Блейх. "Понимание модели контроля доступа для изолированной среды приложений Tizen" (PDF) . Архивировано из оригинала 28.01.2013.
6. Wind River. "Wind River Linux 4 Product Note" (PDF) . Архивировано из оригинала (PDF) 2012-05-23.
7. Wind River. "Wind River Linux 3 Product Note" (PDF) . Архивировано из оригинала (PDF) 2014-09-23.
8. Embedded Alley Solutions, Inc. "SMACK для цифрового телевидения" (PDF) . Архивировано из оригинала (PDF) 2012-09-13.
9. Intel Open Source Technology Center. "Обзор архитектуры ОС Ostro™". Архивировано из оригинала 28.05.2024.
10. Automotive Grade Linux. "AGL Security Framework". Архивировано из оригинала 2017-06-06.
11. Доминиг ар Фолл. "AGL как универсальный защищенный промышленный встраиваемый Linux". Архивировано из оригинала 2024-05-28.
12. "Smack Userspace Tools README". Архивировано из оригинала 20-09-2016.
13. Кейси Шауфлер. "Re: PATCH: Smack: Simplified Mandatory Access Control Kernel". Архивировано из оригинала 2016-10-12.

Дальнейшее чтение

• Джейк Эдж (2007-08-08). "Smack для упрощенного контроля доступа". Linux Weekly News .
• Джонатан Корбет (2007-02-10). "SMACK встречает One True Security Module". Linux Weekly News .
• Кейси Шауфлер (январь 2008 г.). "Упрощенное обязательное ядро ​​контроля доступа" (PPT) . Linux.conf.au . Архивировано из оригинала 2014-01-11. Видео сессии (OGG) . Мельбурн, Австралия.
• Джейк Эдж (2008-08-06). "Симпозиум Linux в Оттаве: Smack для встраиваемых устройств". Linux Weekly News .
• Casey Schaufler (июль 2008 г.). "Smack in Embedded Computing" (PDF) . Труды симпозиума Linux . Том 2. стр. 186–197. Архивировано из оригинала (PDF) 29.06.2013.
• Джейк Эдж (2009-10-07). "Конференция сантехников Linux: три сессии по безопасности". Linux Weekly News .
• Елена Решетова, Кейси Шауфлер (ноябрь 2010 г.). "Обзор упрощенной инфраструктуры безопасности мобильных устройств" (PDF) . Конференция MeeGo . Архивировано из оригинала (PDF) 2012-07-25.