移动智能终端内核安全
1 概述
操作系统内核负责操作系统的任务调度、用户管理、内存管理、多线程支持、多CPU支持等,并包含必要的网络协议、驱动等。内核是所有软件的基础,相应的内核安全是操作系统安全的基础。
在Linux基础之上,2000年12月22日美国国家安全局(NSA, National SecurityAgency)发布了Linux安全增强版本SELinux,其全称为Security-Enhanced Linux,之后被合并到主线Linux内核版本中。
2 SELinux整体架构
2.1 SELinux基本概念
SELinux本质是一个Linux内核安全模块,可在Linux系统中配置其状态。SELinux的状态分为3种,即disabled、permissive和enforcing。
(1)disabled状态:指在Linux系统中不启用SELinux模块的功能。
(2)permissive状态:指在Linux系统中,SELinux模块处于Debug模式,若操作违反策略系统将对违反内容进行记录,但不影响后续操作。
(3)enforcing状态:指在Linux系统中,SELinux模块有效,若操作违反策略,SELinux模块将无法继续工作。
SELinux重要概念
(1)主体:主体是访问操作的发起者,是系统中信息流的启动者。
主体通常指用户或代表用户意图的进程。
通常,主体是访问的发起者,但有时也会成为访问或受控的对象。一个主体可以向另一个主体授权,一个进程可能会控制几个子进程,这时受控的主体或子进程就是一种客体。
(2)客体:客体相对主体而存在,通常客体是指信息的载体或从其他主体或客体接收信息的实体,即访问对象。
客体不受其所依存的系统的限制,客体可以是数据库表、存储段、文件、目录、消息、程序等,还可以是比特、字节、字、字段、处理器、通信信道、时钟、网络节点等。
(3)访问控制分类:管理方式的不同形成不同的访问控制方式。
通常,访问控制方式分为两类:自主访问控制(DAC, Discretionary Access Control)和强制访问控制(MAC,Mandatory Access Control)。
(4)域:域决定了系统中进程的访问,所有进程都在域中运行。
本质上,域是一个进程允许的操作列表,决定了一个进程可以对哪些类型进行操作。SELinux中域的概念相当于标准Linux中uid的概念。
(5)类型:类型与域的概念基本相似,但是,域是相对进程主体的概念,类型是相对目录、文件等客体的概念。类型分配给一个客体,并决定哪个主体可以访问该客体。
(6)角色:角色决定了可以使用哪些域。具体哪些角色可以使用哪些域,需要在策略配置文件中预先定义。如果在策略配置文件中定义了某个角色不可以使用某个域,在实际使用中将会被拒绝。
(7)身份:身份属于安全上下文的一部分,身份决定了本质上可以执行哪个域。
(8)安全上下文:安全上下文是对操作涉及的所有部分的属性描述,包括身份、角色、域、类型。
(9)策略:策略是规则的集合,是可以设置的规则。策略决定一个角色的用户可以访问什么,哪个角色可以进入哪个域,哪个域可以访问哪个类型等。
2.2 SELinux内核架构
LSM( Linux Security Modules)是一个底层的安全策略框架,Linux系统利用LSM管理所有的系统调用。SELinux通过LSM框架整合到Linux内核中。
当用户进程执行系统调用时,进程首先遍历Linux内核现有的逻辑寻找和分配资源,进行一些常规的错误检查,然后进行DAC自动访问控制。进程仅在内核访问内部对象之前,由LSM的钩子询问LSM模块可否访问,LSM模块处理该策略问题并回答可以访问或拒绝访问。
LSM框架主要包括安全服务器、客体管理器和访问向量缓存。
安全服务器负责策略决定,安全服务器使用的策略通过策略管理接口载入。
客体管理器负责按照安全服务器的策略决定强制执行它管理的资源集。对于内核,客体管理器可以理解为一个内核子系统,负责创建并管理内核级的客体,包括文件系统、进程管理和System V进程间通信(IPC, Inter-ProcessCommunication)。
访问向量缓存(AVC, Access Vector Cache)提升了访问确认的速度,并为LSM钩子和内核客体管理器提供了SELinux接口。
2.3 SELinux策略语言
SELinux架构中,对于内核资源,策略通过策略管理接口载入SELinux LSM模块安全服务器中,从而决定访问控制。
SELinux的优势是其策略规则不是静态的,用户必须按照安全目标的要求自行编写策略。使用和应用SELinux本质上就是编写和执行策略的过程。
策略在策略源文件中描述。策略源文件名称为policy.conf,其文件结构包括以下几点。(1)类别许可;(2)类型强制声明;(3)约束;(4)资源标记说明。
使用源模块构造和载入SELinux策略的全过程如下图所示:
首先,通过源模块法生成一个个策略模块,策略模块聚合形成一个大的策略源文件policy.conf;
其次,策略源文件policy.conf通过策略编译器checkpolicy,生成可被内核读取的二进制文件policy.xx;
最后,policy.xx通过策略装载函数security_load_policy载入内核空间并实施访问控制。
目前,在SELinux策略上常见的是单策略组合。
3 SELinux关键技术
SELinux是基于域—类型模型(domain-type)的安全访问控制策略。对用户权限和进程权限的最小化控制,使受到攻击后即使进程权限或用户权限被夺,仍不会对整个系统造成重大影响,从而保证系统的高安全性。
在技术特征上,SELinux从强制访问控制(MAC, Mandatory Access Control)、类型强制(TE, Type Enforcement)、domain迁移、基于角色的访问控制(RBAC, Role Base Access Control)4个方面建立一种加强的安全访问控制策略。
3.1 强制访问控制
通过访问控制方式操作系统可约束主体的能力、发起访问或对客体执行某种操作。主体通常是一个进程或线程,客体通常指文件、目录、TCP/UDP端口、共享内存段或IO设备等。主体和客体均有自己的安全属性。当主体试图访问客体时,操作系统内核将强制执行策略(即许可规则)检查主体和客体的安全属性,并决定访问是否可以发生。任何主体对任何客体的操作都需按照策略进行检测,以决定是否允许操作。
(1)自主访问控制(DAC, Discretionary Access Control)
自主访问控制由主体自身对自己的客体进行管理,由主体自身决定是否将自身所拥有的客体访问权授予其他主体。在自主访问控制方式下,一个用户可以自主选择哪些用户共享他的文件。
(2)强制访问控制(MAC, Mandatory Access Control)
强制访问控制方式将系统中的信息分密级和类进行管理,以保证每个用户只能访问那些被标记可以被他访问的信息。在强制访问控制方式下,主体和客体都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统都将检测主体和客体的安全属性,以确定该主体是否有权限访问该客体。
3.2 类型强制
类型强制(TE)的概念与访问控制有关,类型强制的执行是MAC的先决条件,执行TE规则使强制访问控制优先于自主访问控制实施,并且使TE成为一个补充的RBAC。
TE规则数量很多,但所有的规则基本上都属于两类:访问向量(AV, Access Vector)规则、类型规则。
3.3 domain迁移–防止权限升级
SELinux中所有的进程都在域中运行。
假设在用户环境中运行点对点下载软件azureus,当前进程的domain是fu_t。若用户考虑到安全问题,想在azureus_t域中运行此进程。当用户在terminal里用命令启动azureus,此时该进程的domain就会默认继承实行shell的fu_t。而domain迁移可以让azureus在用户指定的azureus_t中运行,在安全方面,这种做法更可取,不会影响到fu_t。
3.4 基于角色的访问控制RBAC
SELinux用户不直接和域类型(权限)关联,而是用户与角色关联,角色与域类型关联,从而使用户与域类型关联。SELinux中的RBAC特性依赖并支持TE特性,通过在安全上下文中控制域类型、角色和用户的关联实现对TE策略更多的约束,也就是说,域转换受用户的角色约束,并最终约束了用户的总体权限。
RBAC定义了3类主要的规则。
规则1:角色分配,只有当主体被选择或被分配角色时,才可行使权限。
规则2:角色授权,主体的有效角色必须被授权给该主体。
规则3:权限授权,只有当某个权限被授权给主体的有效角色时,主体才可以行使该权限。
4 SELinux应用分析–SEAndroid
4.1 SEAndroid加强功能
SEAndroid主要的加强功能包括以下几项内容。
(1)加强MAC策略
保证所有进程的domain都被定义,且SELinux的默认模式是enforcing。
(2)加强Install MMAC策略
Install MMAC策略中的package和signature标签支持通过标签,来指定应用的context,但仅对预装应用有效。所有第三方应用均无法通过该策略指定,只能由标签匹配,而且seinfo的值为“default”。
SEAndroid在为Android内核增加了SELinux加强功能支持的同时,在用户空间也实现了如下几方面的目标。
(1)提供一种集中的可分析的策略;
(2)使应用在安装和运行过程中权限可控;
(3)构造沙箱,使应用与应用、应用与系统相互隔离;
(4)防止应用提权;
(5)定义所有特权守护进程以防止权限滥用,并把它们的破坏降到最低。主要实现方式包括如下几方面。
(1)针对Android重新编写TE策略;
(2)为所有系统服务和应用定义domain;
(3)利用MLS类别隔离应用;
(4)为应用和应用数据文件夹提供灵活可配置的标注功能;
(5)最小化SELinux用户空间的可用端口;
(6)为Zygote socket commands的使用提供用户空间级别的权限检查;
(7)为Android properties的使用提供用户空间级别的权限检查;
(8)提供JNI方式的SELinux接口;
(9)实现yaffs2文件系统的安全标注,文件系统镜像文件(yaffs2和ext4)编译时标注;
(10)为recovery console和程序更新器提供标注功能;
(11)基于内核的Binder IPC权限检测;
(12)实现对由init进程所产生的服务端套接字(service sockets)和本地套接字文件(socket files)的标注功能;
(13)实现对由ueventd进程所产生的设备节点(device nodes)的标注功能。
4.2 SEAndroid安全规则
SEAndroid主要采用TE和MLS两种强制访问方法,这两种方法都在其安全规则Policy中实现,Policy是整个SEAndroid安全机制的核心。
在SEAndroid中,除MLS检测被强制执行外,其他安全上下文与SELinux基本一致,由user、role、type、security level 4部分组成。
user:SEAndroid中user仅有一个,即u;
role:SEAndroid中role有两个,分别是r和object_r;
type:SEAndroid中共有139种不同的type;
security level:为MLS访问机制专门添加的安全上下文的扩展部分。SEAndroid中安全上下文标记有4种方式,分别是基于策略语句标记、程序请求标记、初始SID标记以及默认标记。
4.3 TE强制访问方式
TE(Type Enforcement)强制访问方式是SEAndroid中最主要的安全手段,所有关于TE的强制访问规则都被定义在后缀为te的文件中,SEAndroid为系统定义了33个te策略文件,这33个策略文件根据其针对的对象可以分为3类,如下图所示。
4.4 MLS强制访问方式
MLS(Multi-Level Security)称为多级别安全,是一种强制访问控制方法,MLS建立在TE安全基础之上。MLS在SELinux为一个可选的访问控制方式,但在SEAndroid中,MLS是必选的安全访问控制方式之一。
(1)MLS相关参量
在SEAndroid中MLS的相关参量为安全上下文的第4列security level。在安全上下文第4列中有一个或两个security level,第一个表示低安全级别,第二个表示高安全级别。
每个security level都由两个字段:sensitivity和category组成。
SEAndroid中,sensitivity只有一个级别即s0, category共有1024个,因此最低安全级别就是s0,最高安全级别就是s0:c0.c1023。
(2)MLS对进程的约束
MLS对于进程domain转换的原则是两个domain的高级别security level和低级别security level必须同时相等。当然,待转换的domain属于对MLS无限权限的type除外。
(3)MLS对socket的约束
只有当主体domain的高级别security level和低级别security level分别与客体localsocket的type的security level相同,或者主体和客体任何一个的domain是属于对MLS无限权限的type时,主体才对客体的local socket拥有读、写、新建等访问权限。
(4)MLS对文件和目录的约束
对文件操作时,MLS要求客体的文件只有一个security level,即文件没有低级别和高级别的security level或者两个级别相同,并且当主体domain的低级别securitylevel与客体文件的security level相同时,或者主体的domain属于对MLS有无限权限的type时,主体对客体文件拥有创建和重新标记安全上下文的权限。
(5)MLS对IPC的约束
对IPC操作时,MLS要求客体的IPC对象只有一个security level,并且当主体的低级别security level与客体的低级别security level满足eq关系,或者主体的domain属于对MLS有无限权限的type时,主体对客体的IPC有创建和销毁的权限。
SELinux作为Linux系统一个增强安全的补丁集,作为可加载的安全模块为Linux系统提供增强的安全功能。
366
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
