Security options安全选项

子羽笔记本

已于 2024-03-06 11:23:47 修改

阅读量246

点赞数

分类专栏： # SElinux专题文章标签：安全 java linux

于 2024-03-06 11:23:11 首次发布

原文链接：https://www.wenjiangs.com/doc/x2dt0vrb

版权

SElinux专题专栏收录该内容

5 篇文章 0 订阅

订阅专栏

Security options
安全选项
这里的选项不明白的建议不要选,否则有可能弄巧成拙.

Enable access key retention support
CONFIG_KEYS

在内核中保留认证令牌(authentication token)和访问密钥(access key).eCryptfs(CONFIG_ECRYPT_FS)与Docker依赖于它.不确定的选"N".

TRUSTED KEYS
CONFIG_TRUSTED_KEYS

"TRUSTED KEY"的意思是由TPM(可信赖平台模块)用RSA算法封装的一对随机数.开启此项后,内核将可以为创建/封装/解封"TRUSTED KEY"提供支持.如果引导PCR(平台配置寄存器)和各种条件都匹配,那么TPM只解封密钥.用户空间永远只能看到加密过后的二进制内容.不确定的选"N".

ENCRYPTED KEYS
CONFIG_ENCRYPTED_KEYS

"ENCRYPTED
KEY"的意思是由内核封装的一对随机数,该对随机数可以用一个"主密钥"使用对称加密算法进行加密和解密.开启此项后,内核将可以为创建/加密/解
密"ENCRYPTED KEY"提供支持."主密钥"既可以是"TRUSTED
KEY"也可以是"user-key"(用户选择的密钥).用户空间永远只能看到/存储加密过后的二进制内容.不确定的选"N".

Enable the /proc/keys file by which keys may be viewed
CONFIG_KEYS_DEBUG_PROC_KEYS

开启"/proc/keys"文件支持,该文件中保存了系统上所有可见的密钥.注意,LSM(Linux安全模块)安全检查仍然是必须的.不确定的选"N".

Restrict unprivileged access to the kernel syslog
CONFIG_SECURITY_DMESG_RESTRICT

禁止非特权用户访问内核日志(dmesg),相当于"echo 1 > /proc/sys/kernel/dmesg_restrict".不确定的选"N".

Enable different security models
CONFIG_SECURITY

允许内核选择不同的LSM(Linux安全模块),如果未选中则内核将使用默认的安全模块("Default security module").不确定的选"N".

Enable the securityfs filesystem
CONFIG_SECURITYFS

securityfs安全文件系统支持.当前仅被TPM bios字符设备驱动以及IMA(完整性提供者)使用.它与SELinux或SMACK之类没有关系.不确定的选"N".

Socket and Networking Security Hooks
CONFIG_SECURITY_NETWORK

允许安全模块通过Security Hook对Socket与Networking进行访问控制.不确定的选"N".

XFRM (IPSec) Networking Security Hooks
CONFIG_SECURITY_NETWORK_XFRM

为
XFRM(IPSec)启用安全Hook.这样安全模块可以通过这些hook,根据IPSec策略标签,实现针对每个网络包的访问控制.非IPSec通信
则被当做"无标签"处理,仅允许那些被明确批准可以不使用策略标签的socket才能不通过IPSec进行通信.不确定的选"N".

Security hooks for pathname based access control
CONFIG_SECURITY_PATH

此安全钩子程序可以让各种安全模块实现基于路径的访问控制.不确定的选"N".

Enable Intel(R) Trusted Execution Technology (Intel(R) TXT)
CONFIG_INTEL_TXT

支持使用可信引导(Trusted Boot)技术引导内核(需要使用tboot模块).这将使用英特尔TXT(可信任执行技术)来引导内核.在不支持TXT的平台上开启此项没有效果.详见"Documentation/intel_txt.txt"文档.不确定的选"N".

Low address space for LSM to protect from user allocation
CONFIG_LSM_MMAP_MIN_ADDR

禁止用户空间分配的低位内存范围.禁止用户写入低位内存有助于降低内核NULL指针漏洞造成的破坏(参见CONFIG_DEFAULT_MMAP_MIN_ADDR选项).建议保持默认值"65536".

NSA SELinux Support
CONFIG_SECURITY_SELINUX

SELinux(安全增强Linux)是美国国家安全局(NSA)开发的Linux安全模块,它拥有一个灵活而强制性的访问控制结构,可防御未知攻击,相当于B1级的军事安全性能(比微软所谓的C2等高得多).应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,对机密性和完整性有很高要求的信息,亦可提供很高的安全保障.但另一方面,如果不深入了解SELinux知识而盲目使用,则会弄巧成拙.不确定的选"N".

NSA SELinux boot parameter
CONFIG_SECURITY_SELINUX_BOOTPARAM

添加"selinux"内核引导参数.以允许在引导时使用'selinux=0'禁用SELinux或'selinux=1'启用SELinux.

NSA SELinux boot parameter default value
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE

"selinux"内核引导参数的默认值.

NSA SELinux runtime disable
CONFIG_SECURITY_SELINUX_DISABLE

允许在运行时禁用SELinux.建议选"N".

NSA SELinux Development Support
CONFIG_SECURITY_SELINUX_DEVELOP

SELinux
开发支持.开启此项后,除非明确使用"enforcing=1"引导参数让内核以"强制模式"运行,否则内核将以"许可模式"运行(记录所有事件,同时允
许所有操作).主要用于测试SELinux以及策略开发.此外,开启此项后,还可以在运行时通过"/selinux/enforce"让内核在"强制模
式"与"许可模式"之间切换.

NSA SELinux AVC Statistics
CONFIG_SECURITY_SELINUX_AVC_STATS

搜集访问向量缓存(access vector cache)的统计信息并在/selinux/avc/cache_stats中显示出来.这些信息可以用avcstat之类的工具查看.

NSA SELinux checkreqprot default value
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE

内核引导参数"checkreqprot"的默认值.设为"0"表示默认检查内核要求执行的保护策略,设为"1"表示默认检查应用程序要求执行的保护策略.此值还可以在运行时通过/selinux/checkreqprot修改.不确定的选"1".

NSA SELinux maximum supported policy format version
CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX

将支持的策略格式的最高版本设置为一个特定的数值.该数值将通过/selinux/policyvers向用户空间报告,并在加载策略时被使用.不确定的选"N".

NSA SELinux maximum supported policy format version value

支持策略格式的最高版本的数值.可以通过"checkpolicy -V"命令检查当前工具链支持的版本数值.

Simplified Mandatory Access Control Kernel Support
CONFIG_SECURITY_SMACK

Smack(简化的强制访问控制内核)内核安全模块.Smack是一种简单而有效的强制访问控制机制,它的简单体现在安全策略的配置很简单,它的有效体现在完全使用LSM作为其控制手段.不确定的选"N".

TOMOYO Linux Support
CONFIG_SECURITY_TOMOYO

TOMOYO Linux是日本NTT数据公司开发的一种Linux安全模块.不确定的选"N".

AppArmor support
CONFIG_SECURITY_APPARMOR

AppArmor(应用盔甲)是来自Novell的一种Linux安全模块.AppArmor使用文件路径来跟踪程序限制,是最容易配置的安全模块.不确定的选"N".

Yama support
CONFIG_SECURITY_YAMA

Yama(阎王)是3.4版内核新引入的一种Linux安全模块.不确定的选"N".

Digital signature verification using multiple keyrings
CONFIG_INTEGRITY_SIGNATURE

允许使用多个密钥环(keyring)进行数字签名验证,也就允许为多个不同的使用场合(evm,ima,module)分别使用不同的keyring.看不懂的选"N".

Enable asymmetric keys support
CONFIG_INTEGRITY_ASYMMETRIC_KEYS

允许使用非对称密钥进行数字签名验证.

Integrity Measurement Architecture(IMA)
CONFIG_IMA

IMA(完整性度量架构)是一个在TCG(可信计算工作组)技术规范之上提出的完整性检查技术.IMA维护着一个系统关键文件的哈希值列表,从而可以检测这些关键文件是否被篡改.如果系统上有TPM安全芯片,那么IMA还会在TPM芯片内存储哈希值的集合.这样的TPM芯片可以提供给第三方,用于检查系统上的关键文件是否被篡改.不确定的选"N".

Enables auditing support
CONFIG_IMA_AUDIT

添加"ima_audit"内核引导参数支持.当设为"ima_audit=1"时,将允许显示完整性审计信息.

Appraise integrity measurements
CONFIG_IMA_APPRAISE

本地完整性鉴定支持.这样就可以在加载文件时检验它的完整性.这要求系统配置EVM支持.不确定的选"N".

EVM support
CONFIG_EVM

EVM通过保护文件的安全扩展属性来对抗完整性攻击.

EVM HMAC version
CONFIG_EVM_HMAC_VERSION

支持的EVM HMAC版本:"1"表示原始版本,默认值"2"表示添加了文件系统UUID支持的改进版本.

Default security module

内核默认的安全模块.[提示]"Unix Discretionary Access Controls"是经典的UNIX基于目录的访问控制安全模型.如果没有开启任何安全模块,这将是默认值.