Linux Security Module逆向分析实战

最新推荐文章于 2023-05-15 21:15:01 发布
最新推荐文章于 2023-05-15 21:15:01 发布
阅读量357 收藏
点赞数
分类专栏: 网络 安全 程序员 文章标签: linux 网络安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120635846
版权

Linux Security Module逆向分析实战

本文记录了对某发行版Linux中一个安全模块(LSM)的逆向过程,该LSM对系统中待运行的程序进行安全校验,数据流穿越内核态与用户态,涉及系统内核及系统服务。此LSM对系统安全性的增强效果明显,其设计思路值得防守方研究学习,可于个人终端或服务器安全防护中应用。特此对逆向内容记录,希望能为读者在终端防护方面拓宽思路,同时欢迎感兴趣的师傅们交流学习。

一. LSM框架简介

Linux安全模块(Linux Security Module,LSM)框架是Linux操作系统内核提供的一种安全机制,它通过内核扩展实现hook函数以完成多种安全检查,通常用于强制访问控制(Mandatory Access Control)。虽然被称作“模块”,但不同于LKM,这些扩展并不是可加载的内核模块,而是和内核代码一起编译在内核文件(vmlinuz)中。可以通过如下命令查看本机启用的LSM,cat /sys/kernel/security/lsm。常见的LSM包括SELinux、Yama等。

LSM框架的hook点设置于内核访问关键对象前,通过调用LSM中实现的hook函数,判断是否可以进行访问。如果有多个LSM,则会根据初始化的顺序依次判断,都允许才能进行访问。上述关键对象包括程序、进程、套接字、文件系统等,可在/usr/src/linux-headers-YOURSYSTEMVERSION/include/linux/lsm_hooks.h中查看详细的hook说明。

这里以程序启动过程为例,简单说明LSM工作的机制。当通过execve系统调用执行一

最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 反汇编工具,逆向与反汇编工具
weixin_30350163的博客
05-06 2368
逆向与反汇编工具了解反汇编的一些背景知识后,再深入学习IDA Pro之前,介绍其他一些用于二进制文件的逆向工程工具,会对我们学习有所帮助。这些工具大多在IDA之前发布,并且仍然可用于快速分析二进制文件,以及审查IDA的分析结果。如我们所见,IDA将这些工具的诸多功能整合到它的用户界面中,为逆向工程提供了一个集成环境。最后,尽管IDA确实包含一个集成调试器,在这里我们不会讨论,因为在第24、25和2...
Linux内核安全模块Linux Security Module,LSM)例子
文石_2009的博客
05-25 1084
安全模块使用这些钩子来对事件进行检查
学习LSM(Linux security module)之一:解读yama
weixin_30537451的博客
11-05 745
  最近打算写一个基于LSM的安全模块,发现国内现有的资料极少。因此打算自己琢磨一下。大致的学习路线如下:   由易至难使用并阅读两到三个安全模块->参照阅读模块自己实现一个安全模块->在自己实现的同时阅读LSM实现的基本源码,由于Yama代码量小,结构十分清晰,可以作为入门的demo进行参照。   由于网上关于LSM的相关介绍已经烂大街了,就按自己的初步理解简单介绍一下LS...
Linux安全模块(LSM)学习——简单的LSM demo(2)
qq_44109982的博客
11-23 1673
一. 实验目的 在初步熟悉LSM的基础上,仿照SMACK的编码风格,复现Pindown模块(https://github.com/node3/Linux-Security-Module)。 二. 实验环境 本博客用到的linux内核版本为4.19.163,若版本不同则需要对代码进行部分修改。 三. 实验原理和工作流程 实验原理: 该实验将二进制文件的路径与被保护文件的路径相关联。 二进制文件的路径被存储在被保护文件inode的扩展属性xattr中,当一个进程尝试访问文件时,在调用exec()时,会加载已存储
Linux操作系统总结
Guanam2020的博客
05-15 269
如果子进程退出,而父进程并没有调用 wait4(),那么子进程的进程描述符仍然保存在系统中,此时这个进程就是僵尸状态。而clone()则带有参数,clone()可以将父进程资源有选择地复制给子进程,而没有复制的数据结构则通过指针的复制让子进程共享,具体要复制哪些资源给子进程,由参数列表中的clone_flags来决定。0号进程是Linux启动的第一个进程,当系统中所有进程启动之后,0号进程退化为idle进程,当一个core上没有任务运行时就会调度运行idle进程,core进入低功耗模式。
linux elf 格式详解
shenhuxi_yu的专栏
09-02 2056
linux elf格式与程序的链接和加载过程
Realtime Linux Security Module-开源
07-17
实时 Linux 安全模块 (LSM) 是 Linux 2.6 内核的可加载扩展。 它有选择地向特定用户组或应用程序授予实时权限。
Enforcer Linux Security Module (LSM)-开源
05-04
**Enforcer Linux Security Module (LSM) 开源详解** Enforcer Linux Security Module(LSM)是一种专门为提升Linux系统完整性设计的安全模块。它专注于保护文件系统的完整性,防止未经授权的修改,以此增强系统的...
Practical Linux Security Cookbook 2nd Edition
10-19
aws can be removed, and this book will help you learn about different types of Linux security to create a more secure Linux system. With a step-by-step recipe approach, the book starts by introducing...
The Linux Basic Security Module-开源
05-03
Linux BSM是一种审核工具,旨在将Sun的Solaris基本安全模块的功能引入Linux
linux-security-modules:存储我的玩具linux安全模块的地方
05-10
Linux安全模块 该存储库包含一小部分linux安全模块,这些模块是作为学习/实验过程的一部分编写的。 在编写本文时,存在的代码已针对最新的长期内核进行编译和测试,即5.10.17 。 如果将来希望将此代码移植到较新的...
linux程序启动过程
faxiang1230的专栏
01-29 903
翻译自:https://lwn.net/Articles/630727/ 这个系列有两篇文章,第一篇主要描述当一个用户程序调用execve()系统调用的的时候发生了了什么,内核是怎么运行起来的,更加generic一些,里面会覆盖不同的可执行文件格式;而第二篇主要描述ELF格式可执行程序运行的过程,更加聚焦一些。 作者最近准备增加一个新的系统调用execveat(3.19版内核已经合并到main...
学习LSM(Linux security module)之二:编写并运行一个简单的demo
weixin_30778805的博客
11-07 572
  各种折腾,经过了一个蛋疼的周末,终于在Ubuntu14.04上运行了一个基于LSM的简单demo程序。 一:程序编写   先简单的看一下这个demo: //demo_lsm.c#include <linux/lsm_hooks.h> #include <linux/sysctl.h> static unsigned long long count = ...
基于Linux Security Module的基于角色的权限管理模块
jmhIcoding
03-31 1650
RBOS 为linux内核添加简易的基于角色的访问控制功能,系统基于LSM(Linux Security Module)模块; 为了能够支持insmod和rmmod ,我们对内核做了一定的修改,将security.c里面的security_hook_heads结构 EXPORT_SYMBOLS了。 系统要求 本驱动在ubuntu 14.04 amd64 可以很好的运行; 功能 定义好4类角色以及...
Linux 内核安全模块学习总结
热门推荐
bcbobo21cn的专栏
03-15 1万+
Linux安全模块(LSM) LSM是Linux Secrity Module的简称,即linux安全模块。其是一种轻量级通用访 问控制框架,适合于多种访问控制模型在它上面以内核可加载模块的形实现。用 户可以根据自己的需求选择合适的安全模块加载到内核上实现。 LSM设计思想: LSM的设计思想:在最少改变内核代码的情况下,提供一个能够成功实现强制访 问控制模块需要的结构或者接口。L
linux内核安全模块,对Linux内核的修改 - Linux 安全模块(LSM)简介_Linux安全_Linux公社-Linux系统门户网站...
weixin_26808023的博客
04-30 325
3.实现方法介绍:对Linux内核的修改Linux安全模块(LSM)目前作为一个Linux内核补丁的形式实现。其本身不提供任何具体的安全策略,而是提供了一个通用的基础体系给安全模块,由安全模块来实现具体的安全策略。其主要在五个方面对Linux内核进行了修改:在特定的内核数据结构中加入了安全域在内核源代码中不同的关键点插入了对安全钩子函数的调用加入了一个通用的安全系统调用提供了函数允许内核模块注册为...
linux 加载bin文件格式,ELF文件的加载过程(load_elf_binary函数详解)-BIN文件
weixin_32049741的博客
04-28 1544
加载和动态链接从编译/链接和运行的角度看,应用程序和库程序的连接有两种方式。一种是固定的、静态的连接,就是把需要用到的库函数的目标代码(二进制)代码从程序库中抽取出来,链接进应用软件的目标映像中;另一种是动态链接,是指库函数的代码并不进入应用软件的目标映像,应用软件在编译/链接阶段并不完成跟库函数的链接,而是把函数库的映像也交给用户,到启动应用软件目标映像运行时才把程序库的映像也装入用户空间(并加...
Linux内核数据学习总结
kyokusanagl的专栏
01-31 2610
目录 1. 进程相关数据结构 1) struct task_struct 2) struct cred 3) struct pid_link 4) struct pid 5) struct signal_struct 6) struct rlimit 2. 内核中的队列/链表对象 1) singly-linked lists
linux逆向分析之ElfCrackme分析
cavalier的学习之路
04-15 3312
前言 前段日子从IDF实验室下到了一个ELF的crackeme决定练一下手,这个crackeme的标题是breakpoint,想想一定是跟断点调试有关的一个程序,但是由于自己电脑比较渣,开虚拟机远程调试一定卡到爆,所以选择利用IDA静态调试。 工具使用:IDA 、WinHex、DEV C++、cygwin、readelf 静态分析过程 首先利用readelf查看一下该程序的信息,是32位的
practical linux security cookbook, 云盘
最新发布
10-22
《Practical Linux Security Cookbook》是一本关于Linux安全的实用手册,书中提供了丰富的实用指南和技巧,帮助读者加强Linux系统的安全性能。与传统的安全书籍不同,这本书强调了实际操作和解决问题的方法,以及通过云盘进行资源共享的优势。 云盘是一种在线存储和共享文件的服务,用户可以将文件上传到云端服务器中,并通过互联网访问和分享这些文件。将《Practical Linux Security Cookbook》制作成云盘资源有以下几个好处: 首先,通过云盘分享《Practical Linux Security Cookbook》,读者可以方便地获取和下载这本书。相对于传统的实体书籍,云盘资源可以随时随地通过网络访问,并且不需要占用大量的存储空间。 其次,云盘提供了多用户的资源共享功能。用户可以将自己的阅读笔记或其他相关材料上传到云盘中,与其他读者共享和交流。这种多用户的交流平台有助于读者之间的互动和经验分享,进一步提高学习和实践的效果。 另外,云盘还具有版本控制和备份的功能。如果用户在阅读过程中对《Practical Linux Security Cookbook》做出修改和注释,云盘可以自动记录并保存这些修改历史。即使误删了某个版本,用户仍然可以通过云盘的历史版本功能找回之前的修改或注释,保证了用户数据的安全和可追溯性。 总结来说,通过将《Practical Linux Security Cookbook》制作成云盘资源,可以方便读者获取和下载这本书,提供了资源共享和交流的平台,以及版本控制和备份的功能,全面提高了了学习和实践的便捷性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值