了解 Linux 安全模块 (LSM) 架构和内核编程

已于 2023-11-07 11:12:25 修改
阅读量581 收藏 5
点赞数
分类专栏: linux 文章标签: linux
于 2023-08-15 16:18:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangdaodragon/article/details/132301497
版权

实现一个类似 SELinux 的安全插件需要深入了解 Linux 安全模块 (LSM) 架构和内核编程。LSM 是一种通用的框架,允许开发者在 Linux 内核中实现各种安全策略。以下是一个简单的示例,展示如何在 LSM 框架中实现一个基本的安全插件,以便更好地理解 LSM 的工作方式。

在这个示例中,我们将实现一个简单的 LSM 安全插件,该插件将限制用户只能访问特定目录下的文件。

1. 创建安全插件源代码文件:

创建一个名为 `sample_lsm.c` 的源代码文件,其中包含安全插件的实现。

#include <linux/lsm_hooks.h>
#include <linux/fs.h>
#include <linux/path.h>
#include <linux/module.h>


static int sample_bprm_check_security(struct linux_binprm *bprm)
{
    // 在此函数中检查执行的二进制文件是否被允许
    return 0; // 返回 0 表示允许执行
}

static int sample_inode_permission(struct inode *inode, int mask)
{
    struct path path;
    int error = 0;

    // 获取文件路径
    path = inode->i_sb->s_root;
    path_get(&path);

    // 在此函数中检查文件权限
    // 这里我们假设限制访问名为 /secure 目录下的文件
    if (strcmp(path.dentry->d_name.name, "secure") == 0) {
        if (!(mask & MAY_READ))
            error = -EACCES; // 拒绝访问
    }

    path_put(&path);
    return error;
}

static struct security_hook_list sample_hooks[] = {
    LSM_HOOK_INIT(bprm_check_security, sample_bprm_check_security),
    LSM_HOOK_INIT(inode_permission, sample_inode_permission),
};

static int __init sample_lsm_init(void)
{
    printk(KERN_INFO "Sample LSM initialized\n");
    security_add_hooks(sample_hooks, ARRAY_SIZE(sample_hooks),"test lsm");
    return 0;
}

static void __exit sample_lsm_exit(void)
{
    printk(KERN_INFO "Sample LSM exited\n");
}

module_init(sample_lsm_init);
module_exit(sample_lsm_exit);

MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("Sample LSM");

2. 编译和加载安全插件:

使用 Makefile 编译和加载安全插件。创建一个名为 `Makefile` 的文件,并将以下内容添加到其中:

obj-m += sample_lsm.o

all:
    make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules

clean:
    make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

然后,在终端中执行以下命令编译和加载安全插件:

make
sudo insmod sample_lsm.ko

3. 测试安全插件:

创建一个名为 `test.txt` 的文件,并尝试访问该文件以及 `/secure` 目录下的文件。你会注意到,在 `/secure` 目录下的文件访问会被拒绝。

这只是一个简单的示例,用于演示如何在 LSM 框架中实现安全插件。实际上,SELinux 和其他高级安全模块会涉及更复杂的规则和检查。在实际应用中,还需要更多的功能和细节,以确保安全性和正确性。

zinuxer
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
LSM_module:使用 LSM 和 IMA 的 Linux 安全模块
07-17
Linux 安全模块LSMLinux Security Modules)是Linux内核中的一种安全框架,它允许开发者添加不同的安全策略,以增强操作系统的安全性。LSM的设计目标是提供一种灵活的方法来实现各种安全模型,而无需修改核心...
Linux 安全模块LSM)简介
04-26
全增强系统的需要,Linux 安全模块LSM)提供了几个关键接口,这些接口使得不同的安全模型能够在不修改内核核心代码的情况下实现自己的安全策略。这些接口包括但不限于: 1. **安全上下文(Security Context)**:...
Linux安全模块LSM)学习——简单的LSM demo(2)
qq_44109982的博客
11-23 1686
一. 实验目的 在初步熟悉LSM的基础上,仿照SMACK的编码风格,复现Pindown模块(https://github.com/node3/Linux-Security-Module)。 二. 实验环境 本博客用到的linux内核版本为4.19.163,若版本不同则需要对代码进行部分修改。 三. 实验原理和工作流程 实验原理: 该实验将二进制文件的路径与被保护文件的路径相关联。 二进制文件的路径被存储在被保护文件inode的扩展属性xattr中,当一个进程尝试访问文件时,在调用exec()时,会加载已存储
Linux内核安全模块Linux Security Module,LSM)例子
文石_2009的博客
05-25 1097
安全模块使用这些钩子来对事件进行检查
Linux LSM原理介绍
最新发布
muyuanbiao888的博客
04-28 841
linux 安全模块 lsm原理介绍
Linux安全模块LSM)学习——推荐一个非常好的博客
qq_44109982的博客
12-01 1004
0.网址 博客地址 该博客基于linux 5.10.17,含有三个lsm demo,难度为递进顺序,作者展示了其如何逐步完成一个有实际使用价值的简单的lsm demo。 1.Whitelist demo hook函数 由于是第一个demo,所以只用到了一个hook函数bprm_check_security,该函数在exec()时被调用,返回值为0时允许执行二进制文件,返回值为负时会拒绝此次调用。 原理 不加载未知的二进制文件,未知这里被定义为无扩展属性security.whitelisted,即只允许存在扩
一文全面了解 LSM BPF (含实战,强烈建议收藏)
dwh0403的专栏
01-05 1319
本文简单介绍了 LSM 框架的基础知识,并基于 LSM BPF 给出了 BCC 和 libbpf 库的实现样例,希望能够让你快速入门 LSM BPF 的编程。如果你对 LSM BPF 的应用场景希望有更多的了解,推荐你进一步阅读[使用 eBPF LSM 热修复 Linux 内核漏洞](https://blog.cloudflare.com/zh-cn/live-patch-security-vulnerabilities-with-ebpf-lsm-zh-cn/ ),在该文中作者基于容器环境中 USER 命
智能终端信息安全概念(十):内核安全(2)SElinux
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-30 1452
SELinux由NSA发布,之后,Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究团队都为SELinux的发展做出了重要的贡献。,可在Linux系统中配置其状态。SELinux的状态分为3种,即disabled、permissive和enforcing。
基于LSM架构Linux文件系统进行安全性增强.pdf
09-07
LSM架构的实现机制可以分为三部分:安全模块的实现、安全模块的加载和安全模块的调用。安全模块的实现是指根据具体的安全需求,设计和实现一个安全模块,然后将其编译成一个Linux可加载内核模块安全模块的加载是指...
增强Linux内核中访问控制安全的方法
09-15
总之,增强Linux内核访问控制安全需要多方面的努力,包括但不限于动态库和系统调用的保护、使用LSM策略、内核安全模块以及良好的系统管理和监控实践。理解并实施这些技术,将有助于构建一个更安全Linux环境。
IMA/EVM完整性检测代码分析
inquisiter
06-01 2378
在IMA hook机制中,需要定义一系列回调函数,包括measure、appraise、policy、inode_free和post_parse等函数。measure函数用于在文件读取之前计算文件的哈希值;appraise函数用于评估文件完整性;policy函数用于读取并更新IMA策略;inode_free函数用于在删除文件时更新操作系统的IMA状态信息;post_parse函数用于在解析之后更新文件系统缓存和错误日志。int ret;
基于Linux Security Module的基于角色的权限管理模块
jmhIcoding
03-31 1657
RBOS 为linux内核添加简易的基于角色的访问控制功能,系统基于LSM(Linux Security Module)模块; 为了能够支持insmod和rmmod ,我们对内核做了一定的修改,将security.c里面的security_hook_heads结构 EXPORT_SYMBOLS了。 系统要求 本驱动在ubuntu 14.04 amd64 可以很好的运行; 功能 定义好4类角色以及...
linux lsm 程序加载钩函数,selinux 学习笔记一(LSM在kernel中的实现)
weixin_33251169的博客
05-02 485
LSM(linux security module)作为一个单独模块,通过在kernel编译过程中的编译flag:CONFIG_SECURITY 控制是否启用该模块中定义的安全相关的功能。具体配置信息见:kernel/linux-4.9/security/Kconfig当在编译阶段打开该配置开关,kernel中的用于管理各个进程的task_struct对象会增加一个安全相关的引用。如下所示:ker...
学习LSM(Linux security module)之二:编写并运行一个简单的demo
weixin_30778805的博客
11-07 573
  各种折腾,经过了一个蛋疼的周末,终于在Ubuntu14.04上运行了一个基于LSM的简单demo程序。 一:程序编写   先简单的看一下这个demo: //demo_lsm.c#include <linux/lsm_hooks.h> #include <linux/sysctl.h> static unsigned long long count = ...
linux lsm模块,Linux安全模块LSM研究及改进
weixin_30114595的博客
05-14 117
摘要:操作系统安全是信息安全的重要方面.访问控制作为操作系统安全的重要因素,是保障信息安全的重要技术.目前已有的访问控制策略通常针对特定的安全目标,而信息系统对安全性的需求通常是多方面的,因此,单一的访问控制策略难以满足安全需求.访问控制框架允许多安全策略共同协调工作,成为研究热点.目前应用比较广泛的访问控制框架有GFAC,Flask,LSM等.LSM以其轻量级,通用等优点,成为研究的重点. LS...
学习LSM(Linux security module)之一:解读yama
weixin_30537451的博客
11-05 747
  最近打算写一个基于LSM安全模块,发现国内现有的资料极少。因此打算自己琢磨一下。大致的学习路线如下:   由易至难使用并阅读两到三个安全模块->参照阅读模块自己实现一个安全模块->在自己实现的同时阅读LSM实现的基本源码,由于Yama代码量小,结构十分清晰,可以作为入门的demo进行参照。   由于网上关于LSM的相关介绍已经烂大街了,就按自己的初步理解简单介绍一下LS...
SELinux架构
MyArrow的专栏
08-19 7013
1. 内核架构     SELinux在所有内核资源上提供增强的访问控制,在它目前的格式下,SELinux是通过LSM框架合并到内核中的。   1.1 LSM框架       LSM框架的思想是允许安全模块以插件形式进入内核,以便更严格地控制Linux默认的基于身份的任意访问控制(DAC)安全性。LSM内核系统调用逻辑中提供了一套钩子(hooks),这些钩子通常放在标准Linux访问检查后
Linux内核模块设计:利用Hook技术实现文件访问权限监控
通过这个实验,参与者将加深理解Linux内核模块的开发流程,以及如何将其应用到实际的安全场景中,增强对操作系统内核安全机制的理解。这对于任何希望在IT领域深入研究或者从事安全相关的开发工作来说,是一次宝贵...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zinuxer

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值