linux安全加固技术--内核安全模块LSM

最新推荐文章于 2024-02-28 09:27:23 发布
VIP文章 最新推荐文章于 2024-02-28 09:27:23 发布
阅读量2.1w 收藏 14
点赞数 3
分类专栏: linux内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/softgmx/article/details/82260175
版权

Linux安全相关技术

  • SELinux
  • AppArmor
  • openSSL
  • TPM
  • SGX
  • LSM

 

linux上六种常用的安全加固技术:

1 安全的编码(Secure Code),减少编写的错误。

2 应用层漏洞缓解技术(Application-level exploitation)(SSP,relro)

3 系统级漏洞缓解技术(System-level exploit mitigation)(ASLR,NX),

4 降权处理(Privilege Dropping)(Sandboxing)

5 强制访问控制(Mandatory access control)(MAC,SELinux)

6 更新策略(Update strategy)

 

feature

SELinux

AppArmor

grsecurity

Automated

No (audit2allow and system-config-selinux)

Yes (Yast wizard)

Yes (auto traning / gradm)
最低0.47元/天 解锁文章
天弓(tg)
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Linux 安全模块LSM)简介
04-26
Linux安全模块LSM)是Linux内核的一个轻量级通用访问控制框架。本文介绍Linux安全模块LSM)的相关背景,设计思想,实现方法;并说明如何使用Linux安全模块LSM)来增强Linux系统的安全性:一方面是供内核开发人员和安全研究人员使用的接口,另一方面是供普通用户使用的模块,以及具体的使用方法。如果读者具有Linux内核安全的相关背景知识,可以有助于对本文的理解。
linux-security-modules:存储我的玩具linux安全模块的地方
05-10
Linux安全模块 该存储库包含一小部分linux安全模块,这些模块是作为学习/实验过程的一部分编写的。 在编写本文时,存在的代码已针对最新的长期内核进行编译和测试,即5.10.17 。 如果将来希望将此代码移植到较新的内核,那么以下错误报告很好地概述了我的处理方式: 包含的模块 此存储库中包含三个模块,其中两个是简单测试,而其中一个更“真实”。 唯一的实际/有用的模块是: 调用用户空间助手/sbin/can-exec以确定用户是否可以执行特定命令。 因为用户空间控件可以动态地编写/更新执行策略。 在我开始学习过程时,编写了以下两个模块,并演示了如何创建简单的独立模块,尽管这些模块实际上并没有提供任何显着的安全益处: 只允许执行具有特定xattr的二进制文件。 仅允许使用包含有效二进制文件SHA1sum的xattr执行命令。 这建立在前一个模块的基础上。 汇编 将securi
LSM零知识学习二、Linux内核中的安全模块
最新发布
qq_53058639的博客
02-28 736
SELinux在上文提到的5个安全模块中,SELinux进入内核时间最早。事实上,LSM机制是伴随着SELinux而进入内核的。SELinux是5个安全模块中功能最全最复杂的一个。SELinux的开发引入了LSM。在2001年,LinusTorvalds拒绝了SELinux直接进入内核主线,他要求把SELinux做成一个相对独立的模块。于是Linux内核安全子领域的开发者实现了LSM机制。LSM机制带来了两个可能:一个是内核代码中多个安全模块并存;
LSM内核模块 Demo 保姆级教程
Steve·Curcy
03-09 1720
LSM 内核模块实现 Demo 前言  最近为了完成作业,被折磨的不轻。版本的不兼容,各种的报错经历了太多。在此记录,希望对大家有所帮助。  本人在写这篇文章的时候,重新安装虚拟机,从头开始的,所以,如果能坚持到最后,大概率会成功的。祝你们好运。(当然,如果这篇文章还没有过太久的话) 准备工作  经过了大量测试,红帽公司的系统好像并不是很好编译 busybox,本人使用 Fedora 系统进行编译时,总是显示缺少依赖,而网上也找不到相应的库。转而使用教程较多的 Ubuntu 系统。为了本身系统的安全,当然使
Linux 2.6内核下LKM安全性研究
04-18
针对目前LSM框架只支持一个独立安全模块的不足,提出了使用安全管理器来管理多安全模块的解决方案;同时针对基于LSM框架的SELinux模型保护LKM安全的不足之处,提出了使用LSM扩展技术在init_module函数的前后位置各放置安全钩子函数的解决方案,从而防止已经躲过安全性检查链接进内核的恶意模块对诸如sys_call_table表、IDT表等内核重要数据结构进行修改,阻止了对LKM模块的攻击。
采用Windows内核加固技术(GKR)构建安全操作系统
03-10
采用Windows内核加固技术(GKR)构建安全操作系统
linuxlsm--简单高效并且周到(机制和策略)
Netfilter
02-09 7811
lsmlinux可加载的安全模块,它非常简单,这个机制又一次体现了linux内核的高度可定制特性,它的效率很高,不会带来很大的开销,这一切归功于内核考虑的周到以及内核架构的高级 如果你了解linux的netfilter,你是否会十分崇拜它的设计者呢,反正我真的很惊叹,深深地挖掘一下内核会发现有一个类似的东西更加全面的做了和netfilter相似的事情,这就是lsm,关于lsm具体的事情比如接
Linux中与“内核安全”相关的数据结构
Leon的博客
05-11 469
【摘要】本文详细描述了Linux中与安全相关的内核数据结构。
Linux 安全 - Capabilities机制
小立仔
09-28 1301
Linux 安全 - Capabilities机制简介
国标安全三级服务器整改
Jesse技术博客
05-15 2205
1、查看/etc/login.defs,访谈询问当前所设置的密码长度及更换周期; 2、查看/etc/pam.d/system-auth,确认密码复杂度要求。 密码最长有效期PASS_MAX_DAYS; 密码最短存留期PASS_MIN_DAYS; 密码长度最小值PASS_MIN_LENS; 密码有效期警告PASS_WARN_...
RBAC-LSM:系统安全项目
07-02
================================================== ========== RBAC(基于角色的访问控制 Linux 安全模块) 作者 : Atluri Vamsi Krishna ================ 说明 ============== 基于角色的访问控制 (RBAC) 是一种基于企业内单个用户的角色来调节对计算机或网络资源的访问的方法。 在此上下文中,访问是单个用户执行特定任务(例如查看、创建或修改文件)的能力。 RBAC 使用户能够根据灵活的功能、关系和约束动态调整其动作,从而执行广泛的授权任务。 这与传统的访问控制方法(如 DAC)形成对比,后者在严格的、逐个对象的基础上授予或撤销用户访问权限。 在 RBAC 中,可以随着企业需求的发展轻松创建、更改或继续角色,而无需为每个用户单独更新权限。 ========== 2
论文研究-Linux安全模块框架的研究和安全日志的实现.pdf
07-22
Linux安全模块(LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架,它提供了内核级的编程接口,已有多种不同的访问控制模型可以装载内核模块的形式在LSM框架上实现。对LSM的工作机制进行了研究,并实现了...
LSM-based Storage Techniques: A Survey(2019)
Tian_pp的博客
07-05 710
总结关于lsm-tree的研究成果。通常,索引结构可以从两种策略中选择一种来处理更新,即就地更新和非就地更新。一个就地更新结构,比如B+树,直接覆盖旧记录来存储新的更新。这些结构通常是读优化的,因为只存储每个记录的最新版本。但是,这种设计牺牲了写性能,因为更新会产生随机I/o。此外,索引页可以通过更新和删除进行分片,从而降低空间利用率。 相比之下,非就地更新结构(如lsm-tree)总是将更新存储到新的位置,而不是覆盖旧的条目。这种设计提高了写性能,因为它可以利用顺序I/o来处理写。它还可以通过不覆盖旧数据
hbase LSM原理
peidezhi的专栏
06-29 365
hbase的写入性能远超一般的关系数据库,而且读取性能也不差。原理是怎么样的呢,这里主要是用到了LSM算法。 1 传统关系性数据库查询,主要是基于索引。 大部分都是B树和B+数来实现。 有关B,B+树的数据结构可以参考如下2篇文章: B树_程序袁小黑-CSDN博客_b树 :https://blog.csdn.net/ydonghao2/article/details/82286580 https://www.cnblogs.com/xueqiuqiu/articles/8779029....
LSM
ruichaoo的博客
12-26 2196
Log Structured Merge Trees It’s nearly a decade since Google released its ‘Big Table’ paper. One of the many cool aspects of that paper was the file organisation it uses. The approach is more g
Linux】密码策略、连接空闲超时时间设置
康师傅没有眼泪
01-16 4246
PASS_MAX_DAYS:90# 密码的最大的有效期 PASS_MIN_DAYS:2# 2天后密码可修改 PASS_WARN_AGE:7# 密码失效前在7天用户登录时通知用户修改密码 PASS_MIN_LENS:8# 密码最小长度,使用pam_cracklib module,该参数不再有效
【kernel exploit】CVE-2018-5333 空指针引用漏洞
panhewu9919的博客
07-27 1233
影响版本:Linux 4.14.14以前。 5.5分。4.14.13未修补,4.14.14已修补。 测试版本:Linux-4.14.13 exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory 编译选项:CONFIG_RDS=y CONFIG_DEBUG_INFO=y CONFIG_SLAB=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allo
LSM的前世今生
内核工匠
10-29 1683
本文主要介绍了Linux Security Module (LSM)的基本原理,应用场景及编程实例。第一部分以Linux Kernel文档为基础,介绍了LSM的定义、诞生与发展,并简述了L...
GY-LSM6DS3模块的引脚说明
05-31
GY-LSM6DS3模块是一款基于LSM6DS3六轴惯性传感器的模块,它的引脚说明如下: 1. VIN:电源输入引脚,接受2.5V至5.5V的电源输入。 2. GND:地引脚。 3. SCL:I2C总线时钟信号引脚。 4. SDA:I2C总线数据信号引脚。 5. INT1:中断输出引脚1,可配置为六轴传感器的数据准备就绪中断或其他中断。 6. INT2:中断输出引脚2,可配置为六轴传感器的数据准备就绪中断或其他中断。 7. CS:片选引脚,用于SPI接口模式。 这些引脚可以通过焊接或插针的方式与其他电路板连接,实现六轴传感器数据的采集和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值