第12章 Linux系统安全相关技术
Linux系统作为基础软件,系统安全至关重要,只有保障了系统安全,才能保障依赖于此系统提供服务的各种信息的安全。保障Linux系统安全只是手段,保障操作系统中的信息安全才是目的。本章结合信息安全和操作系统安全的需求,探讨了Linux的基本安全机制,包括Linux权限、Capabilities、AppArmor、SELinux等,并结合云化带来的数据安全和机密计算趋势,进一步以openEuler上的可信计算和secGear框架为例讨论了可信计算和机密计算。
操作系统安全概述
对操作系统安全的关注,实际上是对操作系统中信息安全的关注。信息安全的基本原则是CIA三元组——机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。一个完整的信息安全保障体系,应该充分考虑到CIA三元组的基本原则,如图。
(1)机密性:又称隐私性(Privacy),是指数据不能被未授权的主体窃取,即避免恶意读操作。
(2)完整性:是指数据不能被未授权的主体篡改,即避免恶意写操作。
(3)可用性:是指数据能够被授权主体正常访问。
linux系统的安全机制
Linux操作系统的安全性比较高,能够实现CIA三元组的安全目标,并具有其相关的机制,可以识别用户、进行权限管理和审计。
Linux操作系统是一个多用户、多任务的操作系统。在Linux下,用户登录后会同时开启很多的服务和进程,而每个服务和进程的运行对其他服务和进程不会造成不良影响。
Linux文件系统的安全主要是通过设置文件的权限来实现的。每一个Linux的文件或目录都有3组属性,分别定义文件或目录的所有者、用户组和其他人的使用权限。文件系统上的权限是指文件和目录的权限。
日志文件是实现黄金法则中“审计”功能的重要基础。Linux日志文件记载了各种信息,包括Linux内核消息、用户登录事件、程序错误等。当系统遭受攻击时,日志文件可以帮助追踪攻击者的痕迹,日志对诊断和解决系统中的问题也有帮助。针对日志文件的功能,需要的服务与程序主要有如下3个。
● syslogd:主要记录系统与网络等服务的信息。
● klogd:主要记录内核产生的各项信息。
● logrotate:主要进行日志文件的轮替功能。
针对Linux系统可以构建出安全的基础系统环境,可以通过防火墙、虚拟专用网(Virtual Private Network,VPN)、入侵检测系统(Instrusion Detection System,IDS)等保证网络层安全;可以通过Linux用户管理、文件系统管理等保障系统层安全。这些都是构建Linux纵深防御体系不可或缺的重要组成部分。
Linux系统的访问控制
访问控制(Access Control)是按照访问者的身份来限制其访问对象的一种方法。访问者又称主体,可以是用户、应用程序和进程等,资源对象为客体,可以是文件、服务和数据等。通过对用户进行身份认证,再根据不同用户授予不同权限,访问控制实现了两个目标:一是防止非法用户进入系统;二是阻止合法用户对系统资源的非法使用。
实现访问控制有两种方法:访问控制列表和访问能力列表。访问能力列表是权限矩阵的实现方法之一。与访问控制列表相比,访问能力列表从主体的角度出发,列出该主体所拥有的或能访问的对象及相应的权限。相比宏内核,访问能力对于微内核来说尤为重要。这是因为微内核中许多计算资源由用户态的服务进行操作,访问能力机制可以非常有效地实现对资源的访问控制与权限管理。以进程主体为例,访问能力列表是每个进程都有的属性,但不能由进程的用户态直接访问,而是保存在内核中,内核对用户态提供对应的Capability ID用于操作。应用在访问某个对象或进行某项操作时,需要以该Capability ID作为参数,内核根据Capability ID找到对应的Capability,进行权限检查,检查通过才允许相应的操作。
可信计算和机密计算
可信计算是一种以硬件安全机制为基础的主动防御技术,它通过建立隔离执行的可信赖的计算环境,保障计算平台敏感操作的安全性,实现了对可信代码的保护,达到从体系结构上全面增强系统和网络信任的目的。学术界与工业界普遍认为可信计算的技术思路是通过在硬件平台上引入可信平台模块(Trusted Platform Module,TPM)提高计算机系统的安全性。同时,我国也对应提出并建立了可信密码模块(Trusted Cryptographic Module,TCM)。然而由于信息安全应用需求的不断变化,基于TPM或TCM 的信任链方案已经不能满足现实场景中的应用需求,信任链传递方案存在安全隐患,无法抵御针对度量过程的时间差攻击,并且CPU与内存均可能被攻击。因此各种改进方法也相继被提出,如通过提供动态测量信任根(Dynamic Root of Trust for Measurement,DRTM),操作系统通过特殊指令创建动态信任链,通过主板改造等方式增强TPM和TCM的主动度量能力,通过可信平台控制模块(Trusted Platform Control Module,TPCM)主动监控平台各组件的完整性和工作状态等。
总结
Linux 系统的安全机制是确保系统安全的关键要素。这些机制包括用户身份验证、访问控制、安全审计、防火墙、加密和安全更新。
在用户身份验证方面,Linux 系统使用密码或其他身份验证机制来确保只有授权用户可以访问系统。访问控制列表(ACL)和文件系统权限用于控制对文件和目录的访问。安全审计记录系统活动,并提供审计跟踪以检测潜在的安全漏洞。防火墙限制对系统的网络访问。加密技术,如 SSL/TLS、IPSec 等,用于保护网络通信的安全性。此外,Linux 系统的开发者会定期发布安全更新,以修复已知的安全漏洞。
Linux 系统的访问控制通过文件系统权限、ACL、安全上下文和能力模型来实现。文件系统权限控制对文件和目录的访问。ACL 是一种更细粒度的访问控制机制,可以为单个用户或用户组分配特定的权限。安全上下文确定进程的特权和访问权限。能力模型允许进程在必要时临时获取特权,而无需以 root 用户身份运行。
可信计算涉及可信引导、TPM(可信平台模块)和远程证明等概念。可信引导确保系统在启动过程中只加载受信任的软件和配置。TPM 是一种硬件模块,用于存储和管理系统的加密密钥,并提供安全的加密操作。远程证明允许远程系统验证本地系统的完整性和安全性。
机密计算使用内存加密、硬件辅助加密和同态加密等技术来保护正在使用的数据。内存加密技术用于保护正在使用的数据,防止未经授权的访问。硬件辅助加密使用专门的硬件模块来加速加密操作,提高性能。同态加密允许在不揭示明文数据的情况下对加密数据进行操作,从而保护数据的机密性。
扫一扫
2459
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
