LSM框架原理解析

最新推荐文章于 2024-04-28 16:31:25 发布
最新推荐文章于 2024-04-28 16:31:25 发布
阅读量954 收藏 1
点赞数
分类专栏: Linux内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/119869321
版权

一、基本原理

  • LSM框架的产生是为了提高Linux内核的安全性,其通过在内核中代码中设置一系列的hook函数点,在进行系统调用前进行相关函数的check,比如在sys_read系统调用中的hook函数为file_permission,进程产生中的hook函数为task_alloc
  • hook函数的作用,如下图所示,在DAC检查完之后,进行hook函数调用,进行自定义的权限的检查。
    在这里插入图片描述

二、实现原理

1. 在内核源码中静态插桩(以sys_clone为例,其函数调用链如下)

  • sys_clone
    在这里插入图片描述

最低0.47元/天 解锁文章
huzai9527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文全面了解 LSM BPF (含实战,强烈建议收藏)
dwh0403的专栏
01-05 1319
本文简单介绍了 LSM 框架的基础知识,并基于 LSM BPF 给出了 BCC 和 libbpf 库的实现样例,希望能够让你快速入门 LSM BPF 的编程。如果你对 LSM BPF 的应用场景希望有更多的了解,推荐你进一步阅读[使用 eBPF LSM 热修复 Linux 内核漏洞](https://blog.cloudflare.com/zh-cn/live-patch-security-vulnerabilities-with-ebpf-lsm-zh-cn/ ),在该文中作者基于容器环境中 USER 命
使用LSM实现自己的访问控制
phmatthaus的专栏
05-19 711
使用LSM实现自己的访问控制
Linux LSM原理介绍
最新发布
muyuanbiao888的博客
04-28 841
linux 安全模块 lsm原理介绍
LSM树详解
yunhaohan的博客
01-07 1016
LSM树(Log-Structured-Merge-Tree)的名字往往会给初识者一个错误的印象,事实上,LSM树并不像B+树、红黑树一样是一颗严格的树状数据结构,它其实是一种存储结构,目前HBase,LevelDB,RocksDB这些NoSQL存储都是采用的LSM树。 LSM树的核心特点是利用顺序写来提高写性能,但因为分层(此处分层是指的分为内存和文件两部分)的设计会稍微降低读性能,但是通过牺牲小部分读性能换来高性能写,使得LSM树成为非常流行的存储结构。 1、LSM树的核心思想 如上图所示,L
unix/linux安全模块,Linux安全模块(LSM)简介
weixin_39542111的博客
05-13 1166
Linux安全模块(LSM)是Linux内核的一个轻量级通用访问控制框架。本文介绍Linux安全模块(LSM)的相关背景,设计思想,实现方法;并说明如何使用Linux安全模块(LSM)来增强Linux系统的安全性:一方面是供内核开发人员和安全研究人员使用的接口,另一方面是供普通用户使用的模块,以及具体的使用方法。如果读者具有Linux内核和安全的相关背景知识,可以有助于对本文的理解;如果不具有,可...
Linux内核安全模块(Linux Security Module,LSM)例子
文石_2009的博客
05-25 1097
安全模块使用这些钩子来对事件进行检查
基于Linux文件系统安全性的LSM框架的研究
01-20
基于Linux文件系统安全性的LSM框架的研究 Linux操作系统的安全是信息安全技术的基础,而文件系统是操作系统的重要组成部分。LSM(Linux Security Module)框架是 Linux 操作系统中的一种通用安全框架,它提供了一...
LSM原理MATLAB文件(doc文件文档)
10-18
LSM原理,及在MATLAB中的使用。
HBase原理-数据读取流程解析
01-27
和写流程相比,HBase读数据是一个更加复杂的操作流程,这主要基于两个方面的原因:其一是因为整个HBase存储引擎基于LSM-Like树实现,因此一次范围查询可能会涉及多个分片、多块缓存甚至多个数据存储文件;其二是因为...
Log Structured Merge Trees(LSM) 原理
xukaics的专栏
09-21 1584
Hbase中的log structure merge tree
Linux 安全模块(LSM)简介
04-26
Linux安全模块(LSM)是Linux内核的一个轻量级通用访问控制框架。本文介绍Linux安全模块(LSM)的相关背景,设计思想,实现方法;并说明如何使用Linux安全模块(LSM)来增强Linux系统的安全性:一方面是供内核开发人员和安全研究人员使用的接口,另一方面是供普通用户使用的模块,以及具体的使用方法。如果读者具有Linux内核和安全的相关背景知识,可以有助于对本文的理解。
SELinux架构
MyArrow的专栏
08-19 7013
1. 内核架构     SELinux在所有内核资源上提供增强的访问控制,在它目前的格式下,SELinux是通过LSM框架合并到内核中的。   1.1 LSM框架       LSM框架的思想是允许安全模块以插件形式进入内核,以便更严格地控制Linux默认的基于身份的任意访问控制(DAC)安全性。LSM在内核系统调用逻辑中提供了一套钩子(hooks),这些钩子通常放在标准Linux访问检查后
详解SSTable结构和LSMTree索引
weixin_34378767的博客
08-14 667
http://www.igvita.com/2012/02/06/sstable-and-log-structured-storage-leveldb/, SSTable and Log Structured Storage: LevelDB   The Sorted String Table (SSTable) is one of the most popular outputs for s...
linux 对象管理器,Linux多安全策略和动态安全策略框架模块详细分析之函数实现机制中文件对象管理器分析(3)...
weixin_36327991的博客
05-12 458
3.决策的实施当主体对客体进行访问时,客体管理器会收集主体和客体的SID,并根据此SID对在AVC中进行查找:如果找到,则根据相应的安全决策进行处理;反之客体管理器会将主体的SID、客体的SID以及客体的类型传递给安全服务器,安全服务器会根据这些数据及相应的安全策略来计算访问向量,并将计算结果返回给客体管理器,同时将该结果存放到AVC。本节主要以文件系统为例说明文件访问时决策的检索过程,文件操作分...
Linux 内核安全模块学习总结
热门推荐
bcbobo21cn的专栏
03-15 1万+
Linux安全模块(LSMLSM是Linux Secrity Module的简称,即linux安全模块。其是一种轻量级通用访 问控制框架,适合于多种访问控制模型在它上面以内核可加载模块的形实现。用 户可以根据自己的需求选择合适的安全模块加载到内核上实现。 LSM设计思想: LSM的设计思想:在最少改变内核代码的情况下,提供一个能够成功实现强制访 问控制模块需要的结构或者接口。L
LSM demo配置
WSRspirit的专栏
03-27 1688
使用LSM做一个系统的钩子,是我在本科毕设的核心。具体的代码已经没有了,但是这个LSM的demo可以帮助初步的配置,之后的代码实现主要依赖于LSM提供的钩子,并且需要对task_struct和inode_struct有一定的理解。/* * Test Linux Security Module * This program is free software; you can redistribute
linux内核open过程的权限管理
eleven_xiy的博客
04-17 8634
【摘要】 【正文一:文件管理】 【常见情况分析】 【正文二:目录管理】 【总结】 注意:请使用谷歌浏览器阅读(IE浏览器排版混乱) 【摘要】 本文以实例介绍linux系统对文件权限的管理.linux kernel对文件权限的检查、关键处理和难点,都发生在打开文件时.至于读写文件,检查方法非常简单,都是基于打开文件时设置的一些权限标志位,所以本文只针对打开文件做介绍. ...
Linux LSM框架:授权钩子一致性分析方法与实现
本文深入探讨了Linux安全模块(LSM框架中的授权钩子函数放置的一致性问题。LSM框架的核心目标是提供一个通用平台,允许开发者实现自定义的授权机制,以增强系统的安全性并支持多种策略。它通过在内核中插入授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值