Главная » Linux

Что такое linux security module

Содержание
  1. Модули безопасности Linux — Linux Security Modules
  2. СОДЕРЖАНИЕ
  3. Дизайн
  4. Принятие
  5. История
  6. Системы защиты Linux
  7. Предыстория Linux Security Modules и SELinux
  8. Глоссарий SELinux
  9. LSM и архитектура SELinux
  10. Управление настройками SELinux
  11. Изменение конфигурации доступов
  12. Файлы, порты и булевы значения
  13. Практикум, получить доступ к интерфейсу Pgadmin-web

Модули безопасности Linux — Linux Security Modules

Модули безопасности Linux ( LSM ) — это структура, позволяющая ядру Linux без предвзятости поддерживать различные модели компьютерной безопасности . LSM находится под лицензией GNU General Public License и является стандартной частью ядра Linux, начиная с Linux 2.6. AppArmor , SELinux , Smack и TOMOYO Linux — это утвержденные в настоящее время модули безопасности в официальном ядре.

СОДЕРЖАНИЕ

Дизайн

LSM был разработан для того, чтобы отвечать всем требованиям для успешной реализации модуля обязательного контроля доступа при минимальном внесении изменений в ядро ​​Linux. LSM избегает подхода с использованием системного вызова, используемого Systrace, поскольку он не масштабируется до многопроцессорных ядер и подвержен атакам TOCTTOU (гонка). Вместо этого LSM вставляет « перехватчики » (восходящие вызовы модуля) в каждую точку ядра, в которой системный вызов пользовательского уровня должен привести к доступу к важному внутреннему объекту ядра, такому как inodes и блоки управления задачами.

LSM имеет узкие рамки для решения проблемы контроля доступа , не навязывая при этом большое и сложное исправление изменений в основном ядре. Он не предназначен для использования в качестве общего механизма « перехвата » или « обратного вызова » и не поддерживает виртуализацию на уровне операционной системы .

Цель LSM в области контроля доступа очень тесно связана с проблемой системного аудита , но несколько отличается. Аудит требует, чтобы каждая попытка доступа регистрировалась. LSM не может предоставить это, потому что для обнаружения случаев, когда ядро ​​« закорачивает » сбой системных вызовов и возвращает код ошибки, прежде чем приблизиться к значительным объектам, потребуется гораздо больше перехватчиков .

Дизайн LSM описан в статье Linux Security Modules: General Security Support for the Linux Kernel, представленной на USENIX Security 2002. На той же конференции была опубликована статья Using CQUAL for Static Analysis of Authorization Hook Placement, в которой изучался автоматический статический анализ кода ядра. чтобы убедиться, что все необходимые перехватчики действительно вставлены в ядро ​​Linux.

Принятие

История

На саммите ядра Linux 2001 года АНБ предложило включить SELinux в Linux 2.5. Линус Торвальдс отверг SELinux в то время, потому что он заметил, что в разработке находится много различных проектов безопасности, и, поскольку все они различаются, сообщество специалистов по безопасности еще не пришло к консенсусу по окончательной модели безопасности. Вместо этого Линус поручил сообществу специалистов по безопасности «сделать его модулем».

В ответ Криспин Коуэн предложил LSM: интерфейс для ядра Linux, который обеспечивает достаточное количество «перехватчиков» (upcalls) внутри ядра Linux для загружаемого модуля, чтобы позволить модулю применять принудительный контроль доступа. Разработка LSM в течение следующих двух лет велась сообществом LSM, в том числе существенным вкладом со стороны Immunix Corporation , NSA , McAfee , IBM , Silicon Graphics и многих независимых участников. LSM в конечном итоге стал основным направлением ядра Linux и был включен как стандартная часть Linux 2.6 в декабре 2003 года.

В 2006 году некоторые разработчики ядра заметили, что SELinux был единственным широко используемым модулем LSM, включенным в основное дерево исходных текстов ядра Linux. Было рассмотрено, что если должен быть только один широко используемый модуль LSM, то косвенное обращение к LSM не нужно, и LSM следует удалить и заменить самим SELinux. Однако существуют другие модули LSM, поддерживаемые вне основного дерева ядра ( AppArmor , Linux Intrusion Detection System , FireFlier , CIPSO , Multi ADM и т. Д.), Поэтому этот аргумент привел к двум результатам: 1. Разработчики этих модулей начали размещать усилия по апстримингу их соответствующих модулей и 2. на саммите ядра 2006 года Линус еще раз заявил, что LSM останется, потому что он не хочет решать, какая модель безопасности является лучшей.

Читайте также:  Maximised windows hide taskbar

LSM, вероятно, останется, поскольку в основное ядро ​​были приняты дополнительные модули безопасности Smack (версия 2.6.25), TOMOYO Linux (версия 2.6.30, июнь 2009 г.) и AppArmor (версия 2.6.36).

Источник

Системы защиты Linux

Одна из причин грандиозного успеха Linux ОС на встроенных, мобильных устройствах и серверах состоит в достаточно высокой степени безопасности ядра, сопутствующих служб и приложений. Но если присмотреться внимательно к архитектуре ядра Linux, то нельзя в нем найти квадратик отвечающий за безопасность, как таковую. Где же прячется подсистема безопасности Linux и из чего она состоит?

Предыстория Linux Security Modules и SELinux

Security Enhanced Linux представляет собой набор правил и механизмов доступа, основанный на моделях мандатного и ролевого доступа, для защиты систем Linux от потенциальных угроз и исправления недостатков Discretionary Access Control (DAC) — традиционной системы безопасности Unix. Проект зародился в недрах Агентства Национальной Безопасности США, непосредственно разработкой занимались, в основном, подрядчики Secure Computing Corporation и MITRE, а также ряд исследовательских лабораторий.

Linux Security Modules

Линус Торвальдс внес ряд замечаний о новых разработках АНБ, с тем, чтобы их можно было включить в основную ветку ядра Linux. Он описал общую среду, с набором перехватчиков для управления операциями с объектами и набором неких защитных полей в структурах данных ядра для хранения соответствующих атрибутов. Затем эта среда может использоваться загружаемыми модулями ядра для реализации любой желаемой модели безопасности. LSM полноценно вошел в ядро Linux v2.6 в 2003 году.

Фреймворк LSM включает защитные поля в структурах данных и вызовы функций перехвата в критических точках кода ядра для управления ими и выполнения контроля доступа. Он также добавляет функции для регистрации модулей безопасности. Интерфейс /sys/kernel/security/lsm содержит список активных модулей в системе. Хуки LSM хранятся в списках, которые вызываются в порядке, указанном в CONFIG_LSM. Подробная документация по хукам включена в заголовочный файл include/linux/lsm_hooks.h.

Подсистема LSM позволила завершить полноценную интеграцию SELinux той же версии стабильного ядра Linux v2.6. Буквально сразу же SELinux стал стандартом де-факто защищенной среды Linux и вошел в состав наиболее популярных дистрибутивов: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

Глоссарий SELinux

LSM и архитектура SELinux

Несмотря на название LSM в общем-то не являются загружаемыми модулями Linux. Однако также, как и SELinux, он непосредственно интегрирован в ядро. Любое изменение исходного кода LSM требует новой компиляции ядра. Соответствующая опция должна быть включена в настройках ядра, иначе код LSM не будет активирован после загрузки. Но даже в этом случае его можно включить опцией загрузчика ОС.

Стек проверок LSM

LSM оснащен хуками в основных функций ядра, которые могут быть релевантными для проверок. Одна из основных особенностей LSM состоит в том, что они устроены по принципу стека. Таким образом, стандартные проверки по-прежнему выполняются, и каждый слой LSM лишь добавляет дополнительные элементы управления и контроля. Это означает, что запрет невозможно откатить назад. Это показано на рисунке, если результатом рутинных DAC проверок станет отказ, то дело даже не дойдет до хуков LSM.

Читайте также:  Не монтируются диски linux mint

SELinux перенял архитектуру безопасности Flask исследовательской операционной системы Fluke, в частности принцип наименьших привилегий. Суть этой концепции, как следует из их названия, в предоставлении пользователю или процессу лишь тех прав, которые необходимы для осуществления предполагаемых действий. Данный принцип реализован с помощью принудительной типизации доступа, таким образом контроль допусков в SELinux базируется на модели домен => тип.

Благодаря принудительной типизации доступа SELinux имеет гораздо более значительные возможности по разграничению доступа, нежели традиционная модель DAC, используемая в ОС Unix/Linux. К примеру, можно ограничить номер сетевого порта, который будет случать ftp сервер, разрешить запись и изменения файлов в определенной папке, но не их удаление.

Основные компоненты SELinux таковы:

  • Policy Enforcement Server — Основной механизм организации контроля доступа.
  • БД политик безопасности системы.
  • Взаимодействие с перехватчиком событий LSM.
  • Selinuxfs — Псевдо-ФС, такая же, как /proc и примонтированная в /sys/fs/selinux. Динамически заполняется ядром Linux во время выполнения и содержит файлы, содержащие сведения о статусе SELinux.
  • Access Vector Cache — Вспомогательный механизм повышения производительности.


Схема работы SELinux

Все это работает следующим образом.

  1. Некий субъект, в терминах SELinux, выполняет над объектом разрешенное действие после DAC проверки, как показано не верхней картинке. Этот запрос на выполнение операции попадает к перехватчику событий LSM.
  2. Оттуда запрос вместе с контекстом безопасности субъекта и объекта передается на модуль SELinux Abstraction and Hook Logic, ответственный за взаимодействие с LSM.
  3. Инстанцией принятия решения о доступе субъекта к объекту является Policy Enforcement Server и к нему поступают данные от SELinux AnHL.
  4. Для принятия решения о доступе, или запрете Policy Enforcement Server обращается к подсистеме кэширования наиболее используемых правил Access Vector Cache (AVC).
  5. Если решение для соответствующего правила не найден в кэше, то запрос передается дальше в БД политик безопасности.
  6. Результат поиска из БД и AVC возвращается в Policy Enforcement Server.
  7. Если найденная политика согласуется с запрашиваемым действием, то операция разрешается. В противном случае операция запрещается.

Управление настройками SELinux

SELinux работает в одном из трех режимов:

  • Enforcing — Строгое соблюдение политик безопасности.
  • Permissive — Допускается нарушение ограничений, в журнале делается соответствующая пометка.
  • Disabled — Политики безопасности не действуют.

Посмотреть в каком режиме находится SELinux можно следующей командой.

Изменение режима до перезагрузки, например выставить на enforcing, или 1. Параметру permissive соответствует числовой код 0.

Также изменить режим можно правкой файла:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing — SELinux security policy is enforced.
# permissive — SELinux prints warnings instead of enforcing.
# disabled — No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted — Targeted processes are protected,
# minimum — Modification of targeted policy. Only selected processes are protected.
# mls — Multi Level Security protection.

Разница с setenfoce в том, что при загрузке операционный системы режим SELinux будет выставлен в соответствии со значением параметра SELINUX конфигурационного файла. Помимо того, изменения enforcing disabled вступают в силу только через правку файла /etc/selinux/config и после перезагрузки.

Просмотреть краткий статусный отчет:

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
Для просмотра атрибутов SELinux некоторые штатные утилиты используют параметр -Z.

Читайте также:  Устанавливается только домашняя версия windows

По сравнению с обычным выводом ls -l тут есть несколько дополнительных полей следующего формата:

Последнее поле обозначает нечто вроде грифа секретности и состоит из комбинации двух элементов:

  • s0 — значимость, также записывают интервалом lowlevel-highlevel
  • c0, c1… c1023 — категория.

Изменение конфигурации доступов

Используйте semodule, чтобы загружать модули SELinux, добавлять и удалять их.

Первая команда semanage login связывает пользователя SELinux с пользователем операционной системы, вторая выводит список. Наконец последняя команда с ключом -r удаляет связку отображение пользователей SELinux на учетные записи ОС. Объяснение синтаксиса значений MLS/MCS Range находится в предыдущем разделе.

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server

]$ semanage login -d karol

Команда semanage user используется для управления отображений между пользователями и ролями SELinux.

  • -a добавить пользовательскую запись соответствия ролей;
  • -l список соответствия пользователей и ролей;
  • -d удалить пользовательскую запись соответствия ролей;
  • -R список ролей, прикрепленных к пользователю;

Файлы, порты и булевы значения

Каждый модуль SELinux предоставляет набор правил маркировки файлов, но также можно добавить собственные правила для в случае необходимости. Например мы желаем дать веб серверу права доступа к папке /srv/www.

Первая команда регистрирует новые правила маркировки, а вторая сбрасывает, вернее выставляет, типы файлов в соответствии с текущими правилами.

Аналогично, TCP/UDP порты отмечены таким образом, что лишь соответствующие сервисы могут их прослушивать. Например, для того, чтобы веб-сервер мог прослушивать порт 8080, нужно выполнить команду.

Значительное число модулей SELinux имеют параметры, которые могут принимать булевы значения. Весь список таких параметров можно увидеть с помощью getsebool -a. Изменять булевы значения можно с помощью setsebool.

Практикум, получить доступ к интерфейсу Pgadmin-web

Рассмотрим пример из практики, мы установили на RHEL 7.6 pgadmin4-web для администрирования БД PostgreSQL. Мы прошли небольшой квест с настройкой pg_hba.conf, postgresql.conf и config_local.py, выставили права на папки, установили из pip недостающие модули Python. Все готово, запускаем и получаем 500 Internal Server error.

Начинаем с типичных подозреваемых, проверяем /var/log/httpd/error_log. Там есть некоторые интересные записи.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
.
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: ‘/var/lib/pgadmin’
[timestamp] [wsgi:error] [pid 23690]
[timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

На этом месте у большинства администраторов Linux возникнет стойкое искушение запустить setenforce 0, да и дело с концом. Признаться, в первый раз я так и сделал. Это конечно тоже выход, но далеко не самый лучший.

Несмотря на громоздкость конструкций SELinux может быть дружественным к пользователю. Достаточно установить пакет setroubleshoot и просмотреть системный журнал.

]$ yum install setroubleshoot
[admin@server

]$ journalctl -b -0
[admin@server

]$ service restart auditd

Обратите внимание на то, что сервис auditd необходимо перезапускать именно так, а не с помощью systemctl, несмотря на наличие systemd в ОС. В системном журнале будет указан не только факт блокировки, но также причина и способ преодоления запрета.

Выполняем эти команды:

]$ setsebool -P httpd_can_network_connect 1
[admin@server

]$ setsebool -P httpd_can_network_connect_db 1

Проверяем доступ на веб страницу pgadmin4-web, всё работает.

Источник

Оцените статью
© 2024 Советы по настройке компьютера