Hola a tots! Especialment per als estudiants del curs hem preparat una traducció de les PMF oficials del projecte SELinux. Ens sembla que aquesta traducció pot ser útil no només per als estudiants, per això la compartim amb vosaltres.
Hem intentat respondre algunes de les preguntes més freqüents sobre el projecte SELinux. Actualment, les preguntes es divideixen en dues categories principals. Es donen totes les preguntes i respostes .
visió de conjunt
visió de conjunt
- Què és Linux amb seguretat millorada?
Linux amb seguretat millorada (SELinux) és la implementació de referència de l'arquitectura de seguretat Flask per a un control d'accés flexible i forçat. Va ser creat per demostrar la utilitat dels mecanismes d'aplicació flexibles i com aquests mecanismes es poden afegir a un sistema operatiu. L'arquitectura Flask es va integrar posteriorment a Linux i es va portar a diversos altres sistemes, incloent el sistema operatiu Solaris, el sistema operatiu FreeBSD i el nucli Darwin, donant lloc a una àmplia gamma de treballs relacionats. L'arquitectura Flask proporciona suport general per fer complir molts tipus de polítiques d'aplicació del control d'accés, incloses les basades en els conceptes d'aplicació de tipus, control d'accés basat en rols i seguretat multinivell. - Què ofereix Linux amb seguretat millorada que Linux estàndard no pot?
El nucli de Linux millorat amb seguretat fa complir polítiques de control d'accés forçades que restringeixen els programes d'usuari i els servidors del sistema al conjunt mínim de privilegis que necessiten per fer la seva feina. Amb aquesta restricció, es redueix o s'elimina la capacitat d'aquests programes d'usuari i dimonis del sistema de causar danys en cas de compromís (per exemple, a causa d'un desbordament de memòria intermèdia o d'una configuració incorrecta). Aquest mecanisme de restricció funciona independentment dels mecanismes tradicionals de control d'accés a Linux. No té el concepte de superusuari "arrel", i no comparteix les conegudes mancances dels mecanismes de seguretat tradicionals de Linux (per exemple, la dependència dels binaris setuid/setgid).
La seguretat d'un sistema Linux no modificat depèn de la correcció del nucli, de totes les aplicacions privilegiades i de cadascuna de les seves configuracions. Un problema en qualsevol d'aquestes àrees pot comprometre tot el sistema. En canvi, la seguretat d'un sistema modificat basat en el nucli de Linux millorat amb seguretat depèn principalment de la correcció del nucli i de la configuració de la seva política de seguretat. Tot i que els problemes amb la correcció o la configuració de l'aplicació poden permetre un compromís limitat dels programes d'usuari individuals i els dimonis del sistema, no suposen un risc de seguretat per a altres programes d'usuari i dimonis del sistema ni per a la seguretat del sistema en conjunt. - Per a què serveix?
Les noves funcions de seguretat millorades de Linux estan dissenyades per proporcionar una segregació de la informació basada en els requisits de confidencialitat i integritat. Estan dissenyats per evitar que els processos llegeixin dades i programes, modifiquin dades i programes, passin per alt els mecanismes de seguretat de les aplicacions, executin programes no fiables o interfereixin amb altres processos que infringeixen la política de seguretat del sistema. També ajuden a limitar els danys potencials que poden causar programari maliciós o programes incorrectes. També haurien de ser útils per garantir que els usuaris amb diferents permisos de seguretat puguin utilitzar el mateix sistema per accedir a diferents tipus d'informació amb diferents requisits de seguretat sense comprometre aquests requisits. - Com puc obtenir una còpia?
Moltes distribucions de Linux inclouen suport per a SELinux ja integrat com a característica predeterminada o com a paquet opcional. El codi bàsic de SELinux userland està disponible a . En general, els usuaris finals haurien d'utilitzar els paquets proporcionats per la seva distribució. - Què inclou el teu llançament?
El llançament de SELinux de la NSA inclou el codi bàsic d'usuari de SELinux. El suport per a SELinux ja està inclòs al nucli principal de Linux 2.6, disponible a kernel.org. El codi bàsic de SELinux userland consta d'una biblioteca per a la manipulació de polítiques binàries (libsepol), un compilador de polítiques (checkpolicy), una biblioteca per a aplicacions de seguretat (libselinux), una biblioteca per a eines de gestió de polítiques (libsemanage) i diverses utilitats relacionades amb polítiques ( Policycoreutils).
A més del nucli habilitat per SELinux i el codi bàsic d'usuari, necessitareu una política i alguns paquets d'espai d'usuari amb pedaços de SELinux per utilitzar SELinux. La política es pot obtenir de . - Puc instal·lar Linux endurit en un sistema Linux existent?
Sí, només podeu instal·lar les modificacions de SELinux en un sistema Linux existent, o podeu instal·lar una distribució de Linux que ja inclogui suport SELinux. SELinux consta d'un nucli de Linux amb suport SELinux, un conjunt bàsic de biblioteques i utilitats, alguns paquets d'usuari modificats i una configuració de polítiques. Per instal·lar-lo en un sistema Linux existent que no té suport SELinux, heu de poder compilar el programari i també tenir altres paquets de sistema necessaris. Si la vostra distribució de Linux ja inclou suport per a SELinux, no cal que creeu ni instal·leu la versió NSA de SELinux. - Quina compatibilitat és Linux amb seguretat millorada amb Linux no modificat?
Linux amb seguretat millorada proporciona compatibilitat binària amb les aplicacions Linux existents i amb els mòduls del nucli de Linux existents, però alguns mòduls del nucli poden requerir modificacions per interactuar correctament amb SELinux. Aquestes dues categories de compatibilitat es discuteixen amb detall a continuació:- Compatibilitat d'aplicacions
SELinux proporciona compatibilitat binària amb aplicacions existents. Hem ampliat les estructures de dades del nucli per incloure nous atributs de seguretat i hem afegit noves crides d'API per a aplicacions de seguretat. Tanmateix, no hem canviat cap estructura de dades visible per a l'aplicació, ni hem canviat la interfície de cap trucada de sistema existent, de manera que les aplicacions existents encara es poden executar sempre que la política de seguretat ho permeti. - Compatibilitat del mòdul del nucli
Inicialment, SELinux només proporcionava compatibilitat inicial per als mòduls del nucli existents; va ser necessari recompilar aquests mòduls amb capçaleres modificades del nucli per recollir els nous camps de seguretat afegits a les estructures de dades del nucli. Com que LSM i SELinux ara estan integrats al nucli principal de Linux 2.6, SELinux ara proporciona compatibilitat binària amb els mòduls del nucli existents. Tanmateix, alguns mòduls del nucli poden no interactuar bé amb SELinux sense modificacions. Per exemple, si un mòdul del nucli assigna i configura directament un objecte del nucli sense utilitzar les funcions d'inicialització normals, és possible que l'objecte del nucli no tingui la informació de seguretat adequada. Alguns mòduls del nucli també poden no tenir controls de seguretat adequats en les seves operacions; qualsevol trucada existent a les funcions del nucli o a les funcions de permís també activarà les comprovacions de permisos de SELinux, però és possible que es requereixin controls més detallats o addicionals per fer complir les polítiques MAC.
Linux amb seguretat millorada no hauria de crear problemes d'interoperabilitat amb sistemes Linux habituals si la configuració de la política de seguretat permet totes les operacions necessàries.
- Compatibilitat d'aplicacions
- Quin és l'objectiu de l'exemple de configuració de la política de seguretat?
A un alt nivell, l'objectiu és demostrar la flexibilitat i la seguretat dels controls d'accés forçats i proporcionar un sistema de treball senzill amb canvis mínims d'aplicació. A un nivell inferior, una política té un conjunt d'objectius, descrits a la documentació de la política. Aquests objectius inclouen el control de l'accés a les dades en brut, la protecció de la integritat del nucli, el programari del sistema, la informació de configuració del sistema i els registres del sistema, limitar el dany potencial que podria causar l'explotació d'una vulnerabilitat en un procés que requereix privilegis, protegir els processos privilegiats de l'execució maliciosa. codi, protegir la funció d'administrador i el domini de l'inici de sessió sense l'autenticació de l'usuari, evitar que els processos normals d'usuari interfereixin amb els processos del sistema o de l'administració i protegir els usuaris i administradors d'explotar les vulnerabilitats del seu navegador mitjançant codi mòbil maliciós. - Per què es va triar Linux com a plataforma base?
Linux va ser escollit com a plataforma per a la implementació de referència inicial d'aquest treball a causa del seu èxit creixent i l'entorn de desenvolupament obert. Linux ofereix una excel·lent oportunitat per demostrar que aquesta funcionalitat pot tenir èxit en un sistema operatiu amfitrió i, al mateix temps, contribuir a la seguretat d'un sistema àmpliament utilitzat. La plataforma Linux també ofereix una excel·lent oportunitat perquè aquest treball tingui la visió més àmplia possible i potser serveixi com a base per a investigacions de seguretat addicionals per part d'altres entusiastes. - Per què vas fer aquesta feina?
L'Agència de Seguretat Nacional és responsable de la investigació i el desenvolupament de tecnologia avançada per permetre a la NSA oferir solucions, productes i serveis de seguretat de la informació a les infraestructures d'informació crítiques per als interessos de seguretat nacional dels Estats Units.
La creació d'un sistema operatiu segur viable continua sent un gran repte de recerca. El nostre objectiu és crear una arquitectura eficient que proporcioni el suport necessari per a la seguretat, executi programes d'una manera molt transparent per a l'usuari i sigui atractiva per als venedors. Creiem que un pas important per assolir aquest objectiu és demostrar com els mecanismes de control d'accés forçat es poden integrar amb èxit al sistema operatiu principal. - Com es relaciona això amb les investigacions anteriors de l'OS NSA?
Els investigadors del National Assurance Research Laboratory de la NSA s'han associat amb la Secure Computing Corporation (SCC) per desenvolupar una arquitectura d'aplicació potent i flexible basada en Type Enforcement, un mecanisme pioner pel sistema LOCK. La NSA i SCC van desenvolupar dues arquitectures prototip basades en Mach: DTMach i DTOS (). L'NSA i l'SCC van treballar després amb el Flux Research Group de la Universitat d'Utah per portar l'arquitectura al sistema operatiu Fluke Research. Durant aquesta migració, l'arquitectura s'ha perfeccionat per oferir un millor suport a les polítiques de seguretat dinàmiques. Aquesta arquitectura millorada s'ha anomenat Flask (). Ara NSA ha integrat l'arquitectura Flask al sistema operatiu Linux per portar la tecnologia a la comunitat de desenvolupadors i usuaris més àmplia. - Linux amb seguretat millorada és un sistema operatiu fiable?
La frase "Sistema operatiu de confiança" es refereix generalment a un sistema operatiu que proporciona suport suficient per a la seguretat en capes i la validació per complir un conjunt específic de requisits governamentals. Linux amb seguretat millorada incorpora informació útil d'aquests sistemes, però se centra en el control d'accés forçat. L'objectiu original de desenvolupar Linux millorat amb seguretat era crear una funcionalitat útil que proporcionés avantatges de seguretat tangibles en una àmplia gamma d'entorns del món real per demostrar aquesta tecnologia. SELinux no és en si mateix un sistema operatiu de confiança, però proporciona una funció de seguretat crítica, el control d'accés forçat, necessària per a un sistema operatiu de confiança. SELinux s'ha integrat a les distribucions de Linux que s'han classificat segons el perfil de protecció de seguretat etiquetat. Podeu trobar informació sobre productes provats i provats a . - Està realment protegida?
El concepte de sistema segur inclou molts atributs (per exemple, seguretat física, seguretat del personal, etc.), i Linux amb seguretat avançada només s'adreça a un conjunt molt reduït d'aquests atributs (és a dir, els controls d'aplicació del sistema operatiu). En altres paraules, "sistema segur" significa prou segur com per protegir certa informació del món real d'un adversari real contra el qual s'adverteix el propietari i/o l'usuari de la informació. Linux millorat amb seguretat només està destinat a mostrar els controls necessaris en un sistema operatiu modern com Linux, i per tant és poc probable que s'ajusti per si sol a cap definició interessant d'un sistema segur. Creiem que la tecnologia demostrada a Linux amb seguretat millorada serà útil per a les persones que creen sistemes segurs. - Què heu fet per millorar la garantia?
L'objectiu d'aquest projecte era afegir controls d'accés forçat amb canvis mínims a Linux. Aquest darrer objectiu limita molt el que es pot fer per millorar la garantia, de manera que no hi ha hagut cap treball per millorar la garantia de Linux. D'altra banda, les millores es basen en el treball anterior sobre el disseny d'una arquitectura de seguretat d'alta seguretat, i la majoria d'aquests principis de disseny s'han transferit a Linux millorat amb seguretat. - CCEVS avaluarà Linux amb seguretat millorada?
Per si mateix, Linux amb seguretat millorada no està dissenyat per abordar el conjunt complet de problemes de seguretat representats per un perfil de seguretat. Tot i que només seria possible avaluar la seva funcionalitat actual, creiem que aquesta avaluació tindria un valor limitat. Tanmateix, hem treballat amb altres per incloure aquesta tecnologia en distribucions de Linux que s'han avaluat i distribucions que es troben en avaluació. Podeu trobar informació sobre productes provats i provats a . - Heu provat de solucionar alguna vulnerabilitat?
No, no hem buscat ni trobat cap vulnerabilitat durant el nostre treball. Només hem aportat prou del mínim necessari per afegir els nostres nous engranatges. - Aquest sistema està aprovat per al govern?
Linux amb seguretat millorada no té cap aprovació especial o addicional per a l'ús governamental sobre cap altra versió de Linux. Linux amb seguretat millorada no té cap aprovació especial o addicional per a l'ús governamental sobre cap altra versió de Linux. - En què es diferencia això d'altres iniciatives?
Linux amb seguretat millorada té una arquitectura ben definida per al control d'accés forçat flexible que s'ha provat experimentalment amb diversos sistemes prototip (DTMach, DTOS, Flask). S'han realitzat estudis detallats sobre la capacitat de l'arquitectura per suportar una àmplia gamma de polítiques de seguretat i estan disponibles a и .
L'arquitectura proporciona un control detallat sobre moltes abstraccions del nucli i serveis que no estan controlats per altres sistemes. Algunes de les característiques distintives d'un sistema Linux amb seguretat ampliada són:- Pura separació de la política dels drets d'execució
- Interfícies de polítiques ben definides
- Independència de polítiques i llenguatges polítics específics
- Independència de formats i continguts específics de les etiquetes de seguretat
- Etiquetes i controls separats per als objectes i serveis del nucli
- Emmagatzematge en memòria cau decisions d'accés per a l'eficiència
- Suport als canvis de política
- Control sobre la inicialització del procés i l'herència i l'execució del programa
- Gestió de sistemes de fitxers, directoris, fitxers i descripcions d'arxius oberts
- Gestió de sòcols, missatges i interfícies de xarxa
- Control sobre l'ús de "Oportunitats"
- Quines són les restriccions de llicència d'aquest sistema?
Tot el codi font que es troba al lloc , es distribueix amb els mateixos termes que els codis font originals. Per exemple, les correccions per al nucli de Linux i les correccions per a moltes de les utilitats existents disponibles aquí es publiquen sota els termes . - Hi ha controls d'exportació?
No hi ha controls d'exportació addicionals per a Linux amb seguretat ampliada en comparació amb qualsevol altra versió de Linux. - La NSA té previst utilitzar-lo a nivell nacional?
Per raons òbvies, la NSA no comenta l'ús operatiu. - La Declaració de garanties del 26 de juliol de 2002 de la Secure Computing Corporation canvia la posició de la NSA que SELinux estava disponible sota la Llicència Pública General de GNU?
La posició de l'NSA no ha canviat. La NSA encara creu que els termes i condicions de la Llicència Pública General de GNU regeixen l'ús, còpia, distribució i modificació de SELinux. Cm. . - La NSA admet programari de codi obert?
Les iniciatives de seguretat de programari de la NSA abasten tant programari propietari com de codi obert, i hem utilitzat amb èxit models de codi obert i propietaris en les nostres activitats de recerca. El treball de la NSA per millorar la seguretat del programari està motivat per una consideració senzilla: aprofitar al màxim els nostres recursos per oferir als clients de la NSA les millors opcions de seguretat possibles en els seus productes més utilitzats. L'objectiu del programa de recerca de la NSA és desenvolupar avenços tecnològics que es puguin compartir amb la comunitat de desenvolupament de programari mitjançant una varietat de mecanismes de transferència. La NSA no avala ni promou cap producte de programari o model de negoci en particular. Més aviat, la NSA promou la seguretat. - La NSA admet Linux?
Com s'ha indicat anteriorment, la NSA no avala ni promou cap producte o plataforma de programari en particular; La NSA només contribueix a augmentar la seguretat. L'arquitectura Flask demostrada a la implementació de referència de SELinux s'ha portat a diversos altres sistemes operatius, com ara Solaris, FreeBSD i Darwin, portat a l'hipervisor Xen i aplicat a aplicacions com el sistema X Window, GConf, D-BUS i PostgreSQL. . Els conceptes d'arquitectura Flask són àmpliament aplicables a una àmplia gamma de sistemes i entorns.
Cooperació
- Com pensem interactuar amb la comunitat Linux?
Tenim , que servirà com a forma principal de publicar informació de Linux millorada amb seguretat. Si esteu interessats en Linux amb seguretat millorada, us animem a unir-vos a la llista de correu dels desenvolupadors, veure el codi font i proporcionar els vostres comentaris (o codi). Per unir-se a la llista de correu de desenvolupadors, consulteu . - Qui pot ajudar?
SELinux ara és mantingut i millorat per la comunitat de programari Linux de codi obert. - La NSA finança algun treball de seguiment?
L'NSA no està considerant actualment propostes de treball posterior. - Quin tipus de suport hi ha disponible?
Tenim la intenció de resoldre els problemes a través de la llista de correu [protegit per correu electrònic], però no podrem respondre totes les preguntes relacionades amb un lloc concret. - Qui va ajudar? Que van fer?
El prototip de Linux millorat amb seguretat va ser desenvolupat per la NSA amb socis de recerca de NAI Labs, Secure Computing Corporation (SCC) i MITRE Corporation. Va seguir molt més material després del llançament públic inicial. . - Com puc saber més?
Us animem a visitar les nostres pàgines web, llegir documentació i treballs de recerca anteriors i participar a la nostra llista de correu. [protegit per correu electrònic]
Trobeu útil la traducció? Escriu comentaris!
Font: www.habr.com