Linux内核LSM介绍及smack配置启用

最新推荐文章于 2021-11-13 10:52:46 发布
最新推荐文章于 2021-11-13 10:52:46 发布
阅读量1.1k 收藏 4
点赞数
文章标签: 操作系统
原文链接:https://my.oschina.net/u/591648/blog/496570
版权
本文介绍了Linux安全模块(LSM)框架,重点讲解了Smack的安全配置和启用步骤。LSM允许一种安全机制在内核中运行,如Smack,它需要特定的内核配置选项,并通过挂载smackfs来使用。文章通过实例展示了如何给文件打标签、设置访问策略以及如何影响进程的权限。
摘要由CSDN通过智能技术生成

(http://www.zhihu.com/question/21637060/answer/58362892?group_id=614562143606079488#comment-89324790)

用户在执行系统调用时,先通过原有的内核接口依次执行功能性的错误检查,接着进行传统的DAC检查,并在即将访问内核的内部对象之前,通过LSM钩子函数调用LSM。LSM再调用具体的访问控制策略来决定访问的合法性。访问控制整体构架:

18143741_Gvp0.jpg

LSM框架下访问决策模块包括selinux,smack,tomoyo,yama,apparmor.

每个决策模块都是通过各自的XXX_init函数调用register_security()函数,注册到LSM框架的模块被加载成功后,就可以进行访问控制操作。如果此时还有一个安全模块要使用register_security()函数进行加载,则会出现错误,直到使用框架注销后,下一个模块才可以载入。

18143741_bsav.jpg


最低0.47元/天 解锁文章
chuju7911
关注
Linux LSM Smack功能简介
m0_37775040的博客
12-06 2196
LSM简介 Linux 中的安全模块LSM是一种轻量级的访问控制框架。用户在执行系统调用时,先通过内核接口依次执行功能性的错误检查,接着进行传统的DAC检查,在访问内核之前通过LSM钩子函数调用LSMLSM根据具体的访问控制策略来决定方法的合法性,以此来实现访问控制。访问控制的架构图(不传了,其它地方也有): 几个相关概念简介(也是来自copy): DAC (Discretionary Ac...
Linux 3.13 smack 源代码
NR_BLOG
12-07 595
要写一个安全模块,先读一个安全模块做参考,由于 smack 最简单,所以读 smack。 一. 了解 smack 的基本使用 可以参考 ubuntu 社区的 Smack configuration ,内容没有太大问题,但是逻辑混乱,也可以参考 强制访问控制内核模块Smack 。 二. Linux Security Module linux
Linux安全模块(LSM)学习——SMACK
qq_44109982的博客
11-11 3995
0.概述 SMACK(Simplified Mandatory Access Control Kernel)的机制是类型增强(Type Enforcement),而没有去更贪心的实现基于角色的访问控制和多级安全,所以将其作为第二个学习的模块。 类型在SMACK中的具体体现是label,定义一个策略(规定主体可以对客体进行什么操作)的格式为 subjectlabel objectlabel access 结构体cred中的security指针会指向SMACK定义的数据结构task_smack的一个实例。
Linux Smack 学习总结
kkxgx的专栏
08-01 6339
Linux 中的安全模块LSM是一种轻量级的访问控制框架。用户在执行系统调用时,先通过内核接口依次执行功能性的错误检查,接着进行传统的DAC检查,在访问内核之前通过LSM钩子函数调用LSMLSM根据具体的访问控制策略来决定方法的合法性,以此来实现访问控制。访问控制的架构图: 1, DAC (Discretionary Access Control) 自主访问控制 Linux文件系统中对文件
Openfire + Smack linux下基本环境搭建和测试
jinyeweiyang的专栏
10-09 504
Openfire Install ------------------ xiaoyang @2012-4-13 环境:fedora16,linux3.2内核,mysql服务器 (1)openfire安装 默认安装在/opt/openfire目录下面。 xiaoyang@xiaoyang openfire$ sudo rpm -ivh openfire-3.7.1-1.i386.
lsm.rar_LSM_linux lsm
09-14
Linux Security Modules(LSM)是Linux内核中的一个框架,它为实现不同安全策略提供了接口。LSM的核心目标是增强内核的安全性,允许开发者轻松地添加新的安全模块,而无需修改大量内核代码。这种设计使得Linux内核...
Linux内核设计的艺术
11-23
8. 安全机制:内核提供了包括Linux安全模块(LSM)、SELinux、AppArmor等在内的安全机制,以保护系统不受恶意软件和入侵的威胁。 9. 实时性能:针对需要实时性能的操作,Linux内核提供了实时内核(PREEMPT_RT补丁)...
lsm.rar_LSM_LSM linux_linux lsm_linux 访问控制
09-20
Linux安全模块(Linux Security Module,LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架
smack
架构师的成长之路的博客
04-12 576
smackpom<dependencies> <dependency> <groupId>org.igniterealtime.smack</groupId> <artifactId>smack-java7</artifactId> &lt...
安全加密 - 沙盘sandboxie - 云容器 - 安全访问控制(MAC SMACK SELINUX
迟来大师的博客
08-29 759
容器 sandboxie和容器区别 sandboxie沙盘 和 云端的异同点: 虚拟化重定向技术,将软件的读写操作,指向一块虚拟区域。保护真实系统不会被随意篡改。 沙盘中运行的软件,能够通过虚拟区域读取系统中的数据,但系统的软件不能读取沙盘的数据。 云端运行的软件,则可以通过虚拟区域和系统中软件,进行互相访问。 系统是一张纸,虚拟区域就是放在纸上的虚拟区域。软件透过玻璃读取纸上的内容,但不能直接写入数据。 sandboxie是单向玻璃,只向一面透光。 云端则是普通的双向玻璃。 V...
使用 SELinuxSmack 增强轻量级容器
weixin_34235105的博客
08-27 182
http://www.bitscn.com/os/linux/200904/158771.html 安全 Linux 容器实现指南 轻量级容器 又称作 Virtual Private Servers (VPS) 或 Jails,它们是经常用于限制不可信应用程序或用户的工具。但是最近构造的轻量级容器没有提供充分的安全保证。使用 SELinuxSmack 策略增强这些容器之后,就...
linux内核远程漏洞,CVE-2018-5390:Linux内核暴SegmentSmack严重漏洞可导致远程DoS攻击...
weixin_31205797的博客
04-29 208
Linux内核处理特定TCP数据包的方式中发现了一个名为SegmentSmack的漏洞。远程攻击者可以利用这一缺陷通过TCP请求触发耗时耗CPU的tcp_collapse_ofo_queue() 和tcp_prune_ofo_queue()系统调用,可能导致CPU跑满。维持拒绝服务条件需要连续的双向TCP会话到可达的开放端口,因此无法使用欺骗的IP地址执行攻击。概述在Linux内核处理特制TCP...
[置顶] 强制访问控制内核模块Smack
weixin_34378767的博客
08-17 613
Smack(Simplified Mandatory Access Control Kernel)是Casey Schaufler[15]于2007年在LSM基础上实现的Linux强制访问控制安全模块,它以内核安全补丁的形式存在于Linux操作系统中,其设计思想是利用LSM安全域将Linux内核中所有主体与客体都打上安全标签,并规定安全策略,只有符合安全策略的访问方式才被容许。与SELinux和D...
浅谈4.X内核和5.X内核LSM模块初始化差异
zerrio的博客
08-18 1811
最近在帮同事解一个LSM子模块的问题的时候,发现4.X内核和5.X内核的初始化流程存在较大的差异。借此问题,我也研究了一下两个大版本内核LSM模块,最终有所获。 先是在网上查找资料,然而目前网上很少有介绍5.X内核lsm模块的新特性的,外网大部分是询问贴,且没啥人回答,百度就更不用说了,完全搜不到相关内容。无奈,只能自己研究了。 通过对比两个版本内核源码,以及查看2019年9月以后的内核security模块的邮件列表(http://kernsec.org/pipermail/linux-secur.
SMACK简介
tlight的专栏
11-22 1994
Smack is the the Simplified Mandatory Access Control Kernel. Smack是一个基于内核实现的强制访问控制机制,简单性是其主要设计目标。 Smack包括三个主要部件: - 内核 - 基本工具(非常有用,但不是必须的) - 配置数据 Smack的核心组件被实现为一个Linux的安全模块(LSM).Smack运行的前提条件是系统要求
Linux安全模块(LSM)学习——简单的LSM demo(1)
qq_44109982的博客
11-13 4910
设计基于LSM的安全模块 1.确定需要hook的函数 2.对hook函数进行填充,添加自己的逻辑(安全检查) 3.添加到在security_hook_list的数据结构里 4.对这个有注册逻辑的函数进行注册 1.确定需要hook的函数: 这里我们希望在创建进程时进行**“额外的安全检查”,所以需要对task_creat()**进行hook 1.用户创建进程需要调用系统调用 sys_fork()/sys_vfork()/sys_clone() 2.sys_fork()等函数中调用 do_fork() 3.do
Linux /proc/pid目录下相应文件的信息说明和含义
热门推荐
Enweitech Software Works
11-29 2万+
Proc是一个虚拟文件系统,在Linux系统中它被挂载于/proc目录之上。Proc有多个功能 ,这其中包括用户可以通过它访问内核信息或用于排错,这其中一个非常有 用的功能,也是Linux变得更加特别的功能就是以文本流的形式来访问进程信息。很Linux命令(比如 ps、toPpstree等)都需要使用这个文件系统的信息。注意,本文就是向用户介绍一些访问这些信息的方法 。需要说明的是,本文所述的内容
Linux服务器查看内存使用情况
爱琴孩的博客
09-28 1159
前言 在日常开发或者生产环境,我们经常需要查看linux服务的内存使用情况,所以能熟练敲出命令能便于我们快速定位问题,这里来和大家一起学习linux的常用查看内存命令。 free命令 free命令显示系统使用和空闲的内存情况,包括物理内存、交互区内存(swap)和内核缓冲区内存。 很清晰明白的显示出了总内存多少,已使用多少,还剩下多少。这里可以看到Swap的used已使用了811Mb,服务器上跑了一个下载音频的进程,物理内存已经不够用了,所以从磁盘中虚拟出一部分的内存。当然我们可以使用free.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值