Linux LSM Smack功能简介

最新推荐文章于 2022-03-04 20:01:18 发布
最新推荐文章于 2022-03-04 20:01:18 发布
阅读量2.1k 收藏 7
点赞数
文章标签: smack lsm linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37775040/article/details/103418637
版权
本文介绍了Linux安全模块LSM中的Smack策略,包括Smack的内核配置、文件系统挂载、Smackload工具的使用,以及Smack的规则和访问控制功能。Smack提供了一种轻量级的访问控制,通过安全标签实现进程间精细的权限管理,防止非法访问。
摘要由CSDN通过智能技术生成
  1. LSM简介

Linux 中的安全模块LSM是一种轻量级的访问控制框架。用户在执行系统调用时,先通过内核接口依次执行功能性的错误检查,接着进行传统的DAC检查,在访问内核之前通过LSM钩子函数调用LSM,LSM根据具体的访问控制策略来决定方法的合法性,以此来实现访问控制。访问控制的架构图(不传了,其它地方也有):

几个相关概念简介(也是来自copy):

  1. DAC (Discretionary Access Control) 自主访问控制

Linux文件系统中对文件的操作属于DAC,DAC的主要内容包括以下几个概念: 主体、客体、权限(rwx)、所有权(ugo),由客体的属主对自己的客体进行管理,由主体决定是否将自己客体的访问权限授权给其他主体,这种控制方式是自主的。下面的例子看到bigxu用户对xgx管理的客体没有写权限,当bigxu主体对test.c文件进行写操作的时候会被拒绝,xgx用户可以决定test.c能否被bigxu用户写操作这就是DAC.在DAC系统中,文件的所有者是创建这个文件的计算机的使用者,此文件的自主访问控制权限由它的创建者来决定如何设置和分配;

bigxu@bigxu-UC7300-series:/home/xgx/smack/smack_test$ ls -lth test.c

-rw-r--r-- 1 xgx xgx 356 Jul 16 20:13 test.c

bigxu@bigxu-UC7300-series:/home/xgx/smack/smack_test$ whoami

bigxu

bigxu@bigxu-UC7300-series:/home/xgx/smack/smack_test$ echo "a" >> test.c

-bash: test.c: Permission denied

bigxu@bigxu-UC7300-series:/home/xgx/smack/smack_test$ 1234567

 

  1. 2LSM钩子 

LSM框架下的访问策略包括selinux,smack,tomoyo,yama 用户还可以注册自己的钩子函数。每个策略都是通过各自的init函数调用register_security函数来注册,注册到LSM框架的模块被加载成功后,就可以进行访问控制。LSM里面给出了结构体security_operations,里面给出了很多钩子函数,实现了相关钩子函数就可以实现访问控制。

 

 

 

 

2 SMACK简介及内核配置方法

 

LSM框架下的访问策略包括selinux,smack,tomoyo,yama 用户还可以注册自己的钩子函数。每个策略都是通过各自的init函数调用register_security函数来注册,注册到LSM框架的模块被加载成功后,就可以进行访问控制。LSM里面给出了结构体security_operations,里面给出了很多钩子函数,实现了相关钩子函数就可以实现访问控制了。(LSM是软件策略,目前看来与硬件加解密模块无关)。目前信息看smack策略开销小,规则比较全面,策略简单直接,最适合嵌入式系统。

 

2.1内核配置

最低0.47元/天 解锁文章
m0_37775040
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux内核LSM介绍及smack配置启用
chuju7911的博客
08-24 1136
(http://www.zhihu.com/question/21637060/answer/58362892?group_id=614562143606079488#comment-89324790) 用户在执行系统调用时,先通过原有的内核接口依次执行功能性的错误检查,接着进行传统的DAC...
linux项目中常用命令
xfei.zhang
05-27 425
1. 查看修改日期 date -s "2016-06-01 09:48:00" 2. rpm相关 -ivh:安装显示安装进度 -Uvh:升级软件包 -qpl:列出RPM软件包内的文件信息,后面包名需要完整包含.rpm -ql:查看rpm包含所有文件,后面包名不含.rpm -qpi:列出RPM软件包的描述信息,后面包名需要完整包含.rpm -qi:列出RPM软件包的描述信息,后面包名
Linux安全模块(LSM)学习——SMACK
qq_44109982的博客
11-11 3770
0.概述 SMACK(Simplified Mandatory Access Control Kernel)的机制是类型增强(Type Enforcement),而没有去更贪心的实现基于角色的访问控制和多级安全,所以将其作为第二个学习的模块。 类型在SMACK中的具体体现是label,定义一个策略(规定主体可以对客体进行什么操作)的格式为 subjectlabel objectlabel access 结构体cred中的security指针会指向SMACK定义的数据结构task_smack的一个实例。
smack
xiayu98020214的专栏
04-17 1431
android 的源码代码是android4.04 下载jdk6.编写jdk.sh脚本如下: export JAVA_HOME=/home/hj/jdk6/jdk1.6.0_38 export JAVA_BIN=/home/hj/jdk6/jdk1.6.0_38/bin export PATH=$JAVA_HOME/bin:$PATH export CLASSPATH=.:$JAV
Linux Smack 学习总结
kkxgx的专栏
08-01 6260
Linux 中的安全模块LSM是一种轻量级的访问控制框架。用户在执行系统调用时,先通过内核接口依次执行功能性的错误检查,接着进行传统的DAC检查,在访问内核之前通过LSM钩子函数调用LSMLSM根据具体的访问控制策略来决定方法的合法性,以此来实现访问控制。访问控制的架构图: 1, DAC (Discretionary Access Control) 自主访问控制 Linux文件系统中对文件
SmartGit的使用教程(详细)
热门推荐
YouAreMy_Sunshine的博客
11-22 3万+
SmartGit的详细使用教程,个人使用经验,以及摸索,有不严谨的地方还请各位多多指教,对你有帮助的话烦请点个赞,谢~ 本人使用的是17年的版本,因为17年的版本30天到期后还可以继续使用, 【这里是连接(包含到期后使用方法):https://download.csdn.net/download/YouAreMy_Sunshine/11972949】 所以一直没有更新最新的,貌似最新的有中文...
lsm.rar_LSM_linux lsm
09-14
在标题“lsm.rar_LSM_linux lsm”中,“lsm.rar”可能是一个包含关于LSM相关信息的压缩文件,而“LSM_linux lsm”则明确指出讨论的是Linux操作系统的LSM框架,特别是与“lsm”相关的部分。描述中提到的“AppArmor ...
Linux-Security-Module.rar_LSM_SELinux_linux lsm
09-19
Linux安全模块(LSMLinux Security Module)是Linux内核中的一个重要组成部分,它提供了一种灵活的方法来增强操作系统的安全性。LSM允许开发者插入各种安全策略,如SELinux(Security-Enhanced Linux),来实现细...
lsm.rar_LSM_LSM linux_V2
09-24
LSMLinux Security Modules)是Linux内核中的一个框架,用于实现不同的安全策略。这个框架的设计目的是为了增强操作系统的安全性,允许开发人员插入各种安全模块,以限制不同进程的权限和行为。标题“lsm.rar_LSM_...
SmackTest例子
09-06
SmackTest
lsm.rar_LSM_LSM linux_linux lsm_linux 访问控制
09-20
Linux安全模块(Linux Security Module,LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架
Linux 安全模块(LSM简介
04-26
全增强系统的需要,Linux 安全模块(LSM)提供了几个关键接口,这些接口使得不同的安全模型能够在不修改内核核心代码的情况下实现自己的安全策略。这些接口包括但不限于: 1. **安全上下文(Security Context)**:...
LSM_module:使用 LSM 和 IMA 的 Linux 安全模块
07-17
LSM的核心功能是通过钩子(hooks)系统,将安全检查插入到内核的关键路径中。当进程尝试执行敏感操作,如读取或写入文件、创建新进程或打开网络连接时,LSM会触发相应的安全策略进行审核和控制。 IMA(Integrity ...
基于LSM架构对Linux文件系统进行安全性增强.pdf
09-07
基于LSM架构对Linux文件系统进行安全性增强 Linux操作系统安全性增强一直是一个重要的研究方向。 Linux内核只提供了经典的UNIX自主访问控制,部分支持了POSIX.1e标准草案中的capabilities安全机制,这对于Linux系统...
Smack核心机制浅析
joy
10-17 2285
Smack核心机制浅析 在以上几篇博客中,我已经阐述了有关Smack技术的一些知识和要点,但是没有把Smack最精华的部分展示出来,由于本人学疏才浅,在阐述的过程中不免有这样那样的问题和诟病,但本人还是尽力把问题说清楚,在这篇文章中,我将尽我所能把Smack的核心机制进行阐述,如果涉及的内容有错误,还请梁老师和各位批判指正。 一  Smack是如何为主体和客体打上标签,又是如何获取
[置顶] 强制访问控制内核模块Smack
weixin_34378767的博客
08-17 600
Smack(Simplified Mandatory Access Control Kernel)是Casey Schaufler[15]于2007年在LSM基础上实现的Linux强制访问控制安全模块,它以内核安全补丁的形式存在于Linux操作系统中,其设计思想是利用LSM安全域将Linux内核中所有主体与客体都打上安全标签,并规定安全策略,只有符合安全策略的访问方式才被容许。与SELinux和D...
编译 toybox (enable smack)
小猪爱拱地
03-02 1987
在编译 toybox的时候,选中了 smack选项,然后,编译的时候,报错: In file included from ./toys.h:71:0, from lib/xwrap.c:10: ./lib/lsm.h:23:23: fatal error: sys/smack.h: No such file or directory compilation te
基于上下文的权限管理模型设计——利用LSM机制
qq_44109982的博客
03-04 3924
设计思路 1.模仿SMACK的编码风格,所以首先要精读一遍SMACK的代码,找到有用的部分。(虽然之前也读过并模仿过,但是复杂度不是一个等级)。 2.确定数据结构和hook函数。 3.初步实现部分功能。 4.调试bug,完善功能 SMACK的系统调用 chsmack: 显示或设置 Smack 扩展属性值 smackctl: 加载 Smack 访问规则 smackaccess: 报告带有一个标签的进程是否可以访问带有另一个标签的对象 Smack 使用扩展属性 (xattrs) 在文件系统对象上存储标签。属性
linux lsm代码常用头文件如何安装
最新发布
04-29
通常情况下,Linux LSMLinux Security Modules)的代码中使用了许多内核头文件,这些头文件需要通过内核源代码进行安装。 具体步骤如下: 1.首先,从Linux内核源代码仓库中获取所需的内核版本。可以从官方网站下载或使用源代码管理工具从Git仓库中克隆。 2.解压缩内核源代码。 3.进入内核源代码目录,执行以下命令: ```bash make headers_install ``` 该命令将会安装内核头文件到 `/usr/include` 目录中。 4.检查是否安装成功,可以执行以下命令: ```bash ls /usr/include/linux/ ``` 如果看到了许多头文件和目录,就说明安装成功了。 另外,如果你只需要使用某些特定的头文件,可以使用以下命令进行安装: ```bash make headers_install INSTALL_HDR_PATH=<安装路径> ``` 其中,`<安装路径>` 可以替换成你想要安装的目录,比如 `/usr/local/include` 等。 需要注意的是,安装内核头文件需要一定的系统管理知识和操作经验,如果不确定操作步骤,建议在专业人士的指导下进行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值