给自己打个广告,欢迎走过路过的关注一下我的个人主页:zhangxin00.github.io
0.概述
SMACK(Simplified Mandatory Access Control Kernel)的机制是类型增强(Type Enforcement),而没有去更贪心的实现基于角色的访问控制和多级安全,所以将其作为第二个学习的模块。
类型在SMACK中的具体体现是label,定义一个策略(规定主体可以对客体进行什么操作)的格式为
subjectlabel objectlabel access
结构体cred中的security指针会指向SMACK定义的数据结构task_smack的一个实例。
struct cred {
atomic_t usage;
kuid_t uid; /* real UID of the task */
kgid_t gid; /* real GID of the task */
kuid_t suid; /* saved UID of the task */
kgid_t sgid; /* saved GID of the task */
kuid_t euid; /* effective UID of the task */
kgid_t egid; /* effective GID of the task */
kuid_t fsuid; /* UID for VFS ops */
kgid_t fsgid; /* GID for VFS ops */
unsigned securebits; /* SUID-less security management */
kernel_cap_t cap_inheritable; /* caps our children can inherit */
kernel_cap_t cap_permitted; /* caps we're permitted */
kernel_cap_t cap_effective; /* caps we can actually use */
kernel_cap_t cap_bset; /* capability bounding set */
kernel_cap_t cap_ambient; /* Ambient capability set */
------------------------------------------------
#ifdef CONFIG_SECURITY
**void *security; /* subjective LSM security */**
#endif
-------------------------------------------------
struct user_struct *user; /* real user ID subscription */
struct user_namespace *user_ns; /* user_ns the caps and keyrings are relative to. */
struct group_info *group_info; /* supplementary groups for euid/fsgid */
/* RCU deletion */
union {
int non_rcu; /* Can we skip RCU deletion? */
struct rcu_head rcu; /* RCU deletion hook */
};
} __randomize_layout;
struct task_struct{
......
/* Process credentials: */
/* Tracer's credentials at attach: */
const struct cred __rcu *ptracer_cred;
/* Objective and real subjective task credentials (COW): */
const struct cred __rcu *real_cred;
/* Effective (overridable) subjective task credentials (COW): */
const struct cred __rcu *cred;
......
}
在SMACK中,客体包含进程、文件、进程间通信、套接字、密钥等,文件和套接字的标签来自扩展属性,其它的都来自创建他们的进程的标签。
SMACK定义了6种操作:读(r),写(w),执行(x),追加(a),变形(t),锁(l)
变形(transmute)是SMACK独立定义的一个操作,如果安全策略允许进程对目录进行w和t操作,并且新文件或新目录所在目录有SMACK64TRANSMUTE属性(为真),则新文件或新目录的安全标签的值=目录的安全标签值。否则为当前进程的安全标签值。
1.SMACK的工作机制
类型内的操作许可
在SMACK中允许带有X标签的主体对带有Y标签的客体进行Z操作。操作有6种:读(r),写(w),执行(x),追加(a),变形(t),锁(l)。
类型转换
类型转换解决的问题是标签的初始值是什么,在什么情况下可以改变成什么值。对应到源码中,类型转换就是安全标签的赋值操作。
主体(进程)的安全标签值有三个来源:
(1)进程复制时,子进程获得父进程的安全标签值。
(2)进程执行系统调用execve时,如果被执行文件有扩展属性security.SMACK64EXEC,则执行execve后,进程安全标签为被执行文件的扩展属性security.SMACK64EXEC的值。
(3)通过伪文件接口/proc/[pid]/attr/current改变进程的安全标签,这种方法只能改变进程自己的安全标签,需要进程具备CAP_MAC_ADMIN的能力,进程的安全标签等于SMACK内部变量smack_onlycap,或smack_onlycap为空。
客体的安全标签存储在task_smack中的一些成员变量(扩展属性)中,如文件的安全标签存储在扩展属性security.SMACK64中。
2.扩展属性
SMACK过于简单的策略难以应付复杂的系统,所以引入了多个扩展属性:
(1)SMACK64:最基本的扩展属性,文件客体的安全标签来自此属性。
(2)SMACK64EXEC:当进程执行exec系统调用时,进程的新安全标签来自被执行文件的security.SMACK64EXEC属性。
(3)SMACK64TRANSMUTE:当此值为TRUE时,在此目录下新建的文件/目录的安全标签的值(SMACK64) 来自此目录的安全标签 (SMACK64) 。
参考资料
《Linux内核安全模块深入剖析》