á¡á¬ážáá¯á¶ážáááºá¹ááá¬áá«! á¡áá°ážáááŒáá·áº áááºáááºážáá¬ážáá»á¬ážá¡ááœááº
SELinux ááá±á¬áá»ááºááŸáá·áºáááºáááºááŒá®áž á¡áá±ážáá»á¬ážáá¯á¶ážáá±ážááœááºážá¡áá»áá¯á·ááᯠáá»áœááºá¯ááºááá¯á·ááŒá±ááẠááŒáá¯ážá
á¬ážáá¬ážáá«áááºá áááºááŸáááœáẠáá±ážááœááºážáá»á¬ážááᯠá¡ááá á¡áá»áá¯ážá¡á
á¬áž ááŸá
áºáá»áá¯ážááœá²áá¬ážáááºá áá±ážááœááºážáá»á¬ážááŸáá·áº á¡ááŒá±á¡á¬ážáá¯á¶ážááᯠáá±ážáá¬ážáááºá
áá±áá¯áá»á¡ááŒááº
áá±áá¯áá»á¡ááŒááº
- Security Enhanced Linux ááá¯áᬠáá¬áá²á
áá¯á¶ááŒá¯á¶áá±ážááá¯ážááŒáŸáá·áºáá¬ážáá±á¬ Linux (SELinux) ááẠááá¯ááºáá»á±á¬áá®ááœá±ááŸááá±á¬á ááœááºážá¡á¬ážáá±ážáááºáá±á¬ááºááœáá·áºááááºážáá»á¯ááºááŸá¯á¡ááœáẠFlask áá¯á¶ááŒá¯á¶áá±ážáááá¯áá¬á ááá¯ážáá¬ážáá»ááºááŒá áºáááºá ááá¯ááºáá»á±á¬áá®ááœá±ááŸááá±á¬ áááºáá±á¬ááºááááºážáá»á¯ááºááŸá¯ááá¹ááá¬ážáá»á¬ážá á¡áá¯á¶ážáááºááŸá¯ááŸáá·áº áááºážááá¹ááá¬ážáá»á¬ážááᯠáááºáááºááŸá¯á áá áºááœáẠáááºááá¯á·ááá·áºááœááºážááá¯ááºáááºááᯠááá¯ááºááŒááẠáááºážááᯠáááºáá®ážáá¬ážáááºá Flask áááá¯áá¬ááᯠáá±á¬ááºááá¯ááºážááœáẠLinux ááœááºáá±á«ááºážá ááºážáá²á·ááŒá®áž Solaris áááºáááºááŸá¯á áá áºá FreeBSD áááºáááºááŸá¯á áá áºááŸáá·áº Darwin kernel á¡áá«á¡ááẠá¡ááŒá¬ážá áá áºáá»á¬ážá áœá¬ááá¯á· áá»áááºáááºáᬠáááºá ááºá¡áá¯ááºáá»á¬ážá áœá¬ááᯠáááºáá®ážáá±ážáá²á·áááºá Flask áááá¯áá¬ááẠType Enforcementá Role-based Access Control ááŸáá·áº Multi-level Security á ááá±á¬ááá¬ážáá»á¬áž á¡áá«á¡ááẠá¡áááºážá¡ááŒááºáááºáá±á¬ááºááœáá·áº ááááºážáá»á¯ááºááŸá¯áá°áá«á á¡áá»áá¯ážá¡á á¬ážáá»á¬ážá áœá¬ááᯠáá»áá·áºáá¯á¶ážáááºá¡ááœáẠáá±áá°áá»áá¶á·ááá¯ážááŸá¯áá±ážáá«áááºá - áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºááŒáŸáá·áºáá¬ážáá±á¬ Linux ááẠá
ᶠLinux ááááá¯ááºááá·áºá¡áá¬ááᯠá¡áááºá¡áá¬á áá¶á·ááá¯ážáá±ážááááºážá
áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºááŒáŸáá·áºáá¬ážáá±á¬ Linux kernel ááẠá¡áá¯á¶ážááŒá¯áá°áááá¯ááááºáá»á¬ážááŸáá·áº á áá áºáá¬áá¬áá»á¬ážááᯠáááºážááá¯á·áá¡áá¯ááºáá»á¬ážáá¯ááºáá±á¬ááºááẠáááºážááá¯á·ááá¯á¡ááºáá±á¬á¡ááœáá·áºá¡áá±ážáá»á¬ážááᯠá¡áááºážáá¯á¶ážááá·áºáááºáá¬ážááá·áº ááá·áºáááºáááºáá±á¬ááºááœáá·áºááááºážáá»á¯ááºááŸá¯áá°áá«ááá»á¬ážááᯠáááºááŸááºáá±ážáááºá á€ááá·áºáááºáá»ááºááŒáá·áºá á€á¡áá¯á¶ážááŒá¯áá°áááá¯ááááºáá»á¬ážááŸáá·áº á áá Ạdaemon áá»á¬ážá á áœááºážááẠ(á¥ááá¬á ááŒá¬ážáá¶ááŒáá·áºáá»áŸá¶ááŸá¯ ááá¯á·ááá¯áẠááŸá¬ážááœááºážááœá²á·á ááºážááŸá¯ááŒáá·áº) á¡áá±ážá¡áá°áá¯ááºáá¶ááá«á á¡áá¹ááá¬ááºááŒá áºá á±ááá¯ááºááẠááá¯á·ááá¯áẠáááºááŸá¬ážáá áºááá¯ááºáááºá á€ááá·áºáááºááá¹ááá¬ážááẠááá¬ážááá¯ážáá» Linux á¡áá¯á¶ážááŒá¯ááœáá·áº ááááºážáá»á¯ááºááŸá¯ ááá¹ááá¬ážáá»á¬ážááŸáá·áº áá®ážááŒá¬ážáá¯ááºáá±á¬ááºáááºá áááºážááœáẠsuperuser "root" á á¡áá°á¡ááááŸáááá·áºá¡ááŒáẠááá¬ážááá¯ážáá» Linux áá¯á¶ááŒá¯á¶áá±ážááá¹ááá¬ážáá»á¬ážá áá°áááá»á¬ážáá±á¬ áá»áá¯á·ááœááºážáá»ááºáá»á¬ážááᯠááá»áŸáá±áá« (á¥ááá¬á setuid/setgid binaries áá±á«áºááœáẠááŸá®ááá¯ááŸá¯)á
ááœááºážáá¶áá¬ážáá±á¬ Linux á áá áºá áá¯á¶ááŒá¯á¶áá±ážááẠkernel á ááŸááºáááºááŸá¯á á¡ááœáá·áºáá°ážáᶠá¡ááá®áá±ážááŸááºážáá»á¬ážá¡á¬ážáá¯á¶ážááŸáá·áº áááºážááá¯á·á ááœá²á·á ááºážááŸá¯áá áºáá¯á á®á¡áá±á«áº áá°áááºáá«áááºá á€áááºáááºáá»á¬ážá¡áááºá០ááŒá¿áá¬áá áºáá¯ááẠá áá áºáá áºáá¯áá¯á¶ážááᯠááááá¯ááºá á±ááá¯ááºáááºá ááá·áºáá»ááºáááºá¡áá±ááŸáá·áºá áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºááŒáŸáá·áºáá¬ážáá±á¬ Linux kernel ááá¯á¡ááŒá±áá¶á ááŒá¯ááŒááºáá¬ážáá±á¬á áá áºááá¯á¶ááŒá¯á¶áá±ážááẠkernel áááŸááºáááºááŸá¯ááŸáá·áº áááºážááá¯á¶ááŒá¯á¶áá±ážáá°áá«áááœá²á·á ááºážáá¯á¶á¡áá±á«áºááœáẠá¡ááááá°áááºáá«áááºá á¡ááá®áá±ážááŸááºáž ááŸááºáááºááŸá¯ ááá¯á·ááá¯áẠááœá²á·á ááºážááŸá¯ááá¯ááºáᬠááŒá¿áá¬áá»á¬ážááẠáá¯á¶ážá áœá²áá°áá áºáŠážáá»ááºážá á®á áááá¯ááááºáá»á¬ážááŸáá·áº á áá Ạdaemons áá»á¬ážááᯠá¡ááá·áºá¡áááºááŒáá·áº á¡áá±ážá¡áá°ááŒá¯ááá¯ááºáá±á¬áºáááºáž áááºážááá¯á·ááẠá¡ááŒá¬ážá¡áá¯á¶ážááŒá¯áá°áááá¯ááááºáá»á¬ážááŸáá·áº á áá Ạdaemons ááá¯á·ááá¯áẠá áá áºáá áºáá¯áá¯á¶ážá áá¯á¶ááŒá¯á¶áá±ážá¡ááœáẠá¡áá¹ááá¬ááºáááŒá áºá á±áá«á - áá¬á¡ááœááºáá±á¬ááºážáá²á
ááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ áá¯á¶ááŒá¯á¶áá±ážáá«ááŸááá±á¬ Linux á¡ááºá¹áá«áááºá¡áá áºáá»á¬ážááẠáá»áŸáá¯á·ááŸááºáá»ááºááŸáá·áº ááá¯ááºáá¬ááŸá¯ááá¯á¡ááºáá»ááºáá»á¬ážá¡áá±á«áº á¡ááŒá±áá¶á á¡áá»ááºá¡áááºááœá²ááŒá¬ážááŸá¯ááᯠáá±áá»á¬á á±ááẠáá®ááá¯ááºážáá¯ááºáá¬ážáááºá áááºážááá¯á·ááẠáá±áá¬ááŸáá·áº áááá¯ááááºáá»á¬ážááᯠáááºááŸá¯ááŒááºážá áá±áá¬ááŸáá·áº áááá¯ááááºáá»á¬ážááᯠáá»áá¯ážáá±á¬ááºááŒááºážá á¡ááá®áá±ážááŸááºáž áá¯á¶ááŒá¯á¶áá±áž ááá¹ááá¬ážáá»á¬ážááᯠáá»á±á¬áºááŒááºááŒááºážá á áááºááá»ááá±á¬ áááá¯ááááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááŒááºáž ááá¯á·ááá¯áẠá áá áºáá¯á¶ááŒá¯á¶áá±ážáá°áá«ááá»á¬ážááᯠáá»áá¯ážáá±á¬ááºááŒááºážá០á¡ááŒá¬ážáá±á¬ áá¯ááºáááºážá ááºáá»á¬ážááᯠáááºáá±á¬ááºá áœááºáááºááŒááºážá០áá¬ááœááºááẠáá®ááá¯ááºážáá±ážááœá²áá¬ážáááºá áááºážááá¯á·ááẠmalware ááá¯á·ááá¯áẠmalware ááŒá±á¬áá·áºááŒá áºááá¯ááºááá·áº á¡áá¬ážá¡áá¬ááŸááá±á¬ áá»ááºá á®ážááŸá¯áá»á¬ážááᯠááá·áºáááºáááºáááºáž áá°áá®áá±ážáá«áááºá ááá°áá®áá±á¬ áá¯á¶ááŒá¯á¶áá±ážááœáá·áºááŒá¯áá»ááºáá»á¬ážááŸáááá·áº áá¯á¶ážá áœá²áá°áá»á¬ážááẠááœá²ááŒá¬ážááŒá¬ážáá¬ážáá±á¬ áá¯á¶ááŒá¯á¶áá±ážááá¯á¡ááºáá»ááºáá»á¬ážááŸáá·áº ááá°áá®áá±á¬ á¡áá»ááºá¡áááºá¡áá»áá¯ážá¡á á¬ážáá»á¬ážááᯠáááºáá±á¬ááºááŒáá·áºááŸá¯ááẠáá°áá®áá±á¬á áá áºá¡á¬áž á¡áá¯á¶ážááŒá¯ááá¯ááºááŒá±á¬ááºáž áá±áá»á¬á á±áááºá¡ááœáẠáááºážááá¯á·ááẠá¡áá¯á¶ážáááºááá·áºáá«áááºá - áááá¹áá°ááᯠáááºááá¯áááá¯ááºááá²á
Linux ááŒáá·áºááŒá°ážááŸá¯áá»á¬ážá áœá¬ááœáẠSELinux á¡ááœáẠáá¶á·ááá¯ážááŸá¯áá«áááºáááºá áá°áááºážá¡ááºá¹áá«áááºá¡ááŒá Ạááá¯á·ááá¯áẠááœá±ážáá»ááºááá¯ááºáá±á¬ áááºáá±á·áá»áºá¡ááŒá Ạáá«áááºáááºá áááºá SELinux userland áá¯ááºááᯠááœáẠáááŸáááá¯ááºáá«áááºáGitHub . áá¯á¶ážá áœá²áá°áá»á¬ážááẠáááºážááá¯á·á ááŒáá·áºááŒá°ážááŸá¯á០áá¶á·ááá¯ážáá±ážáá¬ážáá±á¬ áááºáá±á·ááºá»áá»á¬ážááᯠáá±áá°áá»á¡á¬ážááŒáá·áº á¡áá¯á¶ážááŒá¯ááá·áºáááºá - ááá·áºáá¯ááºáá±ááŸá¯ááœáẠá¡áááºá¡áá¬áá«áááºááááºážá
NSA SELinux áá¯ááºáá±ááŸá¯ááœáẠá¡ááá SELinux á¡áá¯á¶ážááŒá¯áá°áááºááŒá±áá¯áẠáá«áááºáááºá SELinux áá¶á·ááá¯ážááŸá¯ááᯠkernel.org ááœááºáááŸáááá¯ááºáá±á¬ mainline Linux 2.6 kernel ááœáẠááá·áºááœááºážáá¬ážááŒá®ážááŒá áºáááºá á¡ááá SELinux á¡áá¯á¶ážááŒá¯áá°áááºááŒá±áá¯ááºááœáẠááœááá±á«áºáá á® (libsepol)á áá°áá«áá á¯á ááºážááŸá¯ (á á áºáá±ážáá±ážáá°áá«á)á áá¯á¶ááŒá¯á¶áá±ážá¡ááá®áá±ážááŸááºážáá»á¬ážá¡ááœáẠá á¬ááŒáá·áºááá¯áẠ(libselinux)á áá°áá«áá á®áá¶ááá·áºááœá²ááŸá¯áááááá¬áá»á¬áž (libsemanage) á¡ááœáẠá á¬ááŒáá·áºááá¯ááºááŸáá·áº áá°áá«áááá¯ááºáᬠá¡áá¯á¶ážáááºááŸá¯áá»á¬ážá áœá¬ ( áá°áá«áá¡ááŒá±áá¶áá»á¬áž)á
SELinux-enabled kernel ááŸáá·áº á¡ááŒá±áᶠuserland áá¯ááºá¡ááŒááºá SELinux ááá¯á¡áá¯á¶ážááŒá¯ááẠáá°áá«ááá áºáá¯ááŸáá·áº SELinux-patched userspace áááºáá±á·áá»áºá¡áá»áá¯á· ááá¯á¡ááºáááºááŒá áºáááºá áá±á«áºáá á®ááá± ááá°ááá¯ááºáá«áááºáSELinux áááºááœáŸááºážáá°áá«á ááá±á¬áá»áẠ. - áááºááŸá Linux á
áá
áºááœáẠHardened Linux ááᯠááá·áºááœááºážááá¯ááºáá«ááá¬ážá
áá¯ááºáá«áááºá áááºááẠáááºááŸá Linux á áá áºááœáẠSELinux ááŒá¯ááŒááºááœááºážáá¶ááŸá¯áá»á¬ážááá¯áᬠááá·áºááœááºážááá¯ááºáááºá ááá¯á·ááá¯áẠSELinux áá¶á·ááá¯ážááŸá¯áá«áááºááŒá®ážáá±á¬ Linux ááŒáá·áºááŒá°ážááŸá¯ááᯠááá·áºááœááºážááá¯ááºáááºá SELinux ááœáẠSELinux áá¶á·ááá¯ážááŸá¯áá«ááŸááá±á¬ Linux kernelá core set of libraries ááŸáá·áº utilitiesá á¡áá»áá¯á·áá±á¬ ááŒá¯ááŒááºáá¬ážáá±á¬ á¡áá¯á¶ážááŒá¯áá° áááºáá±á·ááºá»áá»á¬ážááŸáá·áº áá°áá«áááœá²á·á ááºážáá¯á¶áá»á¬áž áá«áááºáááºá SELinux áá¶á·ááá¯ážááŸá¯ áááºážáá²á·áá±á¬ ááŸáááŒá®ážáá¬áž Linux á áá áºááœáẠáááºážááᯠááá·áºááœááºážáááºá áááºááẠáá±á¬á·ááºáá²ááºááᯠá á¯á ááºážááá¯ááºááŒá®áž á¡ááŒá¬ážááá¯á¡ááºáá±á¬ á áá áºáááºáá±á·ááºá»áá»á¬ážáááºáž ááŸáááá«áááºá áááºá Linux ááŒáá·áºááŒá°ážááŸá¯ááœáẠSELinux áá¶á·ááá¯ážááŸá¯áá«áááºááŒá®ážááŒá áºáá«áá áááºááẠSELinux á NSA áá¯ááºáá±ááŸá¯ááᯠáááºáá±á¬ááºááẠááá¯á·ááá¯áẠááá·áºááœááºážááẠáááá¯á¡ááºáá«á - ááœááºážáá¶áá¬ážáá±á¬ Linux ááŸáá·áº Security Enhanced Linux ááẠáááºááá¯á·áááá¬áááŒá
áºááááºážá
Security Enhanced Linux ááẠáááºááŸá Linux á¡ááá®áá±ážááŸááºážáá»á¬ážááŸáá·áº áááºááŸá Linux kernel module áá»á¬ážááŸáá·áº binary ááá¯ááºáááºáá®ááŸá¯ááᯠáá±ážá áœááºážáá±á¬áºáááºáž á¡áá»áá¯á·áá±á¬ kernel module áá»á¬ážááẠSELinux ááŸáá·áº áá±á¬ááºážááœááºá áœá¬ á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºáááºá¡ááœáẠááŒá¯ááŒááºááŒá±á¬ááºážáá²ááŸá¯ ááá¯á¡ááºááá¯ááºáá«áááºá ááá¯ááºáááºáá®ááŸá¯ á¡áá»áá¯ážá¡á á¬áž ááŸá áºáá¯ááᯠá¡á±á¬ááºááœáẠá¡áá±ážá ááẠááœá±ážááœá±ážáá¬ážáá«áááºá- áá»áŸá±á¬ááºááœáŸá¬ááŸáá·áº ááá¯ááºáááºáá®ááŸá¯
SELinux ááẠáááºááŸáá¡ááá®áá±ážááŸááºážáá»á¬ážááŸáá·áº binary ááœá²áááºá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá áá¯á¶ááŒá¯á¶áá±ážá¡ááºá¹áá«áááºá¡áá áºáá»á¬ážáá«áááºáááºááŸáá·áº áá¯á¶ááŒá¯á¶áá±ážá¡ááá®áá±ážááŸááºážáá»á¬ážá¡ááœáẠAPI áá±á«áºááá¯ááŸá¯á¡áá áºáá»á¬ážááᯠáááºáá±á¬ááºážááá·áºááœááºážáááºá¡ááœáẠkernel áá±áá¬ááœá²á·á ááºážáá¯á¶ááᯠááá¯ážáá»á²á·áá¬ážáá«áááºá ááá¯á·áá±á¬áºáááºážá áá»áœááºá¯ááºááá¯á·ááẠáááºááá·áº á¡ááá®áá±ážááŸááºážá០ááŒááºááá¯ááºáá±á¬ áá±áá¬ááœá²á·á ááºážáá¯á¶áá»á¬ážááᯠáááŒá±á¬ááºážáá²áá« ááá¯á·ááá¯áẠááŸáááŒá®ážáá¬áž á áá áºáá±á«áºááá¯ááŸá¯áá»á¬ážá á¡ááºáá¬áá±á·á áºááᯠáááŒá±á¬ááºážáá²áá¬ážáá±á¬ááŒá±á¬áá·áº áá¯á¶ááŒá¯á¶áá±ážáá°áá«áá áááºážááá¯á·ááᯠáá¯ááºáá±á¬ááºááœáá·áºááŒá¯áá«á áááºááŸáá¡ááºááºáá»á¬ážááᯠááŒá¯ááŒááºááœááºážáá¶ááŒááºážáááŸááá² áá¯ááºáá±á¬ááºááá¯ááºáááºá - Kernel Module ááá¯ááºáááºááŸá¯
á¡á ááá¯ááºážááœááºá SELinux ááẠááŸáááŒá®ážáá¬áž kernel modules áá»á¬ážá¡ááœááºáᬠáá°áááºážááá¯ááºáááºáá®ááŸá¯ááᯠáá±ážá áœááºážáá²á·áááºá kernel áá±áá¬áááºáá±á¬ááºáá¯á¶áá»á¬ážááœáẠááá·áºááœááºážáá¬ážáá±á¬ áá¯á¶ááŒá¯á¶áá±ážá¡ááœááºá¡áá áºáá»á¬ážááᯠáá±á¬ááºáá°áááºá¡ááœáẠááŒá±á¬ááºážáá²áá¬ážáá±á¬ kernel áá±á«ááºážá á®ážáá»á¬ážááŸáá·áº á¡ááá¯áá« module áá»á¬ážááᯠááŒááºáááºá á¯á ááºážááẠááá¯á¡ááºáá«áááºá LSM ááŸáá·áº SELinux ááá¯á·ááẠááᯠáááºá Linux 2.6 kernel ááœáẠáá±á«ááºážá ááºážáá¬ážáá±á¬ááŒá±á¬áá·áº ááᯠSELinux ááẠáááºááŸá kernel modules áá»á¬ážááŸáá·áº binary compatibility ááᯠáá¶á·ááá¯ážáá±ážáá«áááºá ááá¯á·áá±á¬áºá á¡áá»áá¯á·áá±á¬ kernel module áá»á¬ážááẠááŒá¯ááŒááºááœááºážáá¶ááŒááºážáááŸááá² SELinux ááŸáá·áº áá±á¬ááºážááœááºá áœá¬ áá¯á¶á·ááŒááºááá¯ááºáááºááá¯ááºáá±á á¥ááá¬á¡á¬ážááŒáá·áºá kernel module áá áºáá¯á០kernel object áá áºáá¯ááᯠáá¬áá¬ááºá¡á áá»áá¯ážááŒááºáž áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážáááŒá¯áá² ááá¯ááºááá¯ááºááœá²áá±áááºááŸááºáá«áá kernel object ááẠááá·áºáá»á±á¬áºáá±á¬ áá¯á¶ááŒá¯á¶áá±ážá¡áá»ááºá¡áááºáá»á¬áž áá»áá¯á·áá²á·ááá¯ááºáá«áááºá á¡áá»áá¯á·áá±á¬ kernel module áá»á¬ážááẠáááºážááá¯á·á áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá¡ááœáẠááá·áºáá»á±á¬áºáá±á¬ áá¯á¶ááŒá¯á¶áá±ážááááºážáá»á¯ááºááŸá¯áá»á¬ážáááºáž áááºážáá²á·áá±ááá¯ááºáááºá Kernel áá¯ááºáá±á¬ááºáá»ááºáá»á¬áž ááá¯á·ááá¯áẠááœáá·áºááŒá¯áá»ááºáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááá¯á· áááºááŸááá±á«áºááá¯ááŸá¯áá»á¬ážááẠSELinux ááœáá·áºááŒá¯áá»ááºá á áºáá±ážááŸá¯áá»á¬ážááᯠá¡á áá»áá¯ážáá±ážáááºááŒá áºáá±á¬áºáááºáž MAC áá°áá«ááá»á¬ážááᯠáá»áá·áºáá¯á¶ážááẠá¡áá±ážá ááẠááá¯á·ááá¯áẠáááºáá±á¬ááºážááááºážáá»á¯ááºááŸá¯áá»á¬áž ááá¯á¡ááºááá¯ááºáá«áááºá
áá¯á¶ááŒá¯á¶áá±ážáá°áá«áááœá²á·á ááºážááŸá¯áá¯á¶á á¶ááŒáá·áº ááá¯á¡ááºáá±á¬áá¯ááºáá±á¬ááºááŸá¯áá»á¬ážá¡á¬ážáá¯á¶ážááᯠááœáá·áºááŒá¯áá¬ážáááœá±á· áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºááŒáŸáá·áºáááºáá¬ážáá±á¬ Linux ááẠáá¯á¶ááŸáẠLinux á áá áºáá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸááºáá¯ááºáá±á¬ááºááá¯ááºááŸá¯ááŒá¿áá¬áá»á¬ážááᯠáááŒá áºá á±ááá·áºáá«á
- áá»áŸá±á¬ááºááœáŸá¬ááŸáá·áº ááá¯ááºáááºáá®ááŸá¯
- áá¯á¶ááŒá¯á¶áá±ážáá°áá«áááœá²á·á
ááºážáá¯á¶á¥ááá¬á áááºážááá¯ááºáá»á¬ážáá¬áž á¡áááºáááºážá
ááŒáá·áºáá¬ážáá±á¬á¡ááá·áºááœááºá áááºááŸááºážáá»ááºááŸá¬ á¡áááºážá¡ááŒááºáááºáá±á¬ááºááœáá·áºááááºážáá»á¯ááºááŸá¯áá»á¬ážá ááŒá±á¬ááºážááœááºááŒááºááœááºááŸáá·áº áá¯á¶ááŒá¯á¶áá±ážááá¯ááŒááááºááŸáá·áº ááá¯ážááŸááºážáá±á¬áá¯ááºáá±á¬ááºááŸá¯á áá áºáá áºáá¯á¡á¬áž á¡ááºááºáá®áá±ážááŸááºážáá»á¬ážááá¯á· á¡áááºážáááºáá±á¬ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááŒáá·áº áá¶á·ááá¯ážáá±ážáááºááŒá áºáááºá á¡á±á¬ááºááŒá±á¡ááá·áºááœááºá áá°áá«ááá áºáá¯ááœáẠáá°áá«áá á¬áááºážááŒá¯á á¯ááŒááºážááœáẠáá±á¬áºááŒáá¬ážáá±á¬ áááºááŸááºážáá»ááºáá»á¬ážá áœá¬ááŸááááºá á€áááºááŸááºážáá»ááºáá»á¬ážááœáẠáá±áá¬áá¯ááºááŒááºážáááºáá±á¬ááºááŸá¯ááᯠááááºážáá»á¯ááºááŒááºážá kernel áááá¯ááºáá¬ááŸá¯ááá¯áá¬ááœááºááŒááºážá á áá áºáá±á¬á·ááºáá²á á áá áºááœá²á·á ááºážáá¯á¶á¡áá»ááºá¡áááºááŸáá·áº á áá áºááŸááºáááºážáá»á¬ážá á¡ááœáá·áºáá°ážáá»á¬ážááá¯á¡ááºááá·áº áá¯ááºáááºážá ááºáá»á¬ážááœáẠá¡á¬ážáááºážáá»ááºááá¯á¡áá¯á¶ážáá»ááŒááºážááŒá±á¬áá·áºááŒá áºááá¯ááºááá·áºá¡áá¹ááá¬ááºáá»á¬ážááá¯ááá·áºáááºááŒááºážá á¡ááœáá·áºáá°ážáá¶áá¯ááºáááºážá ááºáá»á¬ážááá¯áá¯ááºáá±á¬ááºááŒááºážááŸáá¬ááœááºááŒááºážáá«áááºáááºá áá¯ááºá á¡áá¯á¶ážááŒá¯áá° á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážáááŸááá² áá±á¬á·ááºá¡ááºáá»á¬ážá០á á®áá¶ááá·áºááœá²áá°á á¡áááºážááá¹áááŸáá·áº ááá¯ááááºážááᯠáá¬ááœááºááŒááºážá áá¯á¶ááŸááºá¡áá¯á¶ážááŒá¯áá° áá¯ááºáááºážá ááºáá»á¬ážááᯠá áá Ạááá¯á·ááá¯áẠá á®áá¶ááá·áºááœá²áá±áž áá¯ááºáááºážá ááºáá»á¬ážááᯠá¡ááŸá±á¬áá·áºá¡ááŸááºáááŒá áºá¡á±á¬áẠáá¬ááœááºáá±ážááŒááºážááŸáá·áº áá¯á¶ážá áœá²áá°áá»á¬ážááŸáá·áº á á®áá¶ááá·áºááœá²áá°áá»á¬ážááẠáááºážááá¯á·áááá±á¬ááºáá¬ááŸá á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áá¹ááá¬ááºááŸááá±á¬ ááá¯ááá¯ááºážáá¯ááºááŒáá·áº á¡áá¯á¶ážáá»ááŒááºážá០áá¬ááœááºáá±ážáááºá - Linux ááᯠá¡ááŒá±áá¶ááááºáá±á¬ááºážá¡ááŒá
Ạáá¬ááŒá±á¬áá·áº ááœá±ážáá»ááºáá²á·áá¬áá²á
áááºážáá¡á±á¬ááºááŒááºááŸá¯ááŸáá·áº ááœáá·áºáááºážáá±á¬ ááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯áááºáááºážáá»ááºááŒá±á¬áá·áº á€áá¯ááºáááºážá áááŠážáááºááœáŸááºážá¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯á¡ááœáẠLinux ááᯠááááºáá±á¬ááºážá¡ááŒá Ạááœá±ážáá»ááºáá²á·áááºá Linux ááẠhost operating system áá áºáá¯ááœáẠá€áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááᯠá¡á±á¬ááºááŒááºááá¯ááºááŒá±á¬ááºáž áááºáá±ááŒááẠá¡áá±á¬ááºážáá¯á¶ážá¡ááœáá·áºá¡áá±ážááᯠáá±ážá áœááºážááŒá®áž áá áºáá»áááºáááºážááœáẠááœááºáá»ááºá áœá¬á¡áá¯á¶ážááŒá¯áá±á¬á áá áºá áá¯á¶ááŒá¯á¶áá±ážááᯠá¡áá±á¬ááºá¡áá°ááŒá áºá á±áá«áááºá Linux ááááºáá±á¬ááºážááẠá€áá¯ááºáááºážá¡ááœáẠá¡áá»ááºááŒáá·áºáá¯á¶ážááŒá áºááá¯ááºáá»á±ááŸááá±á¬ ááŒá¯á¶áá¯á¶áá¯á¶ážáááºáá»ááºáááŸáááẠá¡áá±á¬ááºážáá¯á¶ážá¡ááœáá·áºá¡áá±ážááᯠáá±ážá áœááºážááá¯ááºááŒá®áž á¡ááŒá¬ážáá±á¬ áá«ááá¬ááŸááºáá»á¬ážá áá±á¬ááºáááºáá¯á¶ááŒá¯á¶áá±ážáá¯áá±ááá¡ááœáẠá¡ááŒá±áá¶á¡ááŒá Ạáá±á¬ááºááœááºááá¯ááºáá«áááºá - áááºážáá¬ááá¯á· áá®á¡áá¯ááºááᯠáá¯ááºáá¬áá²á
ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážá¡ááœáẠá¡áá»áá¯ážáá¬ážáá¯áá±áááá¬ááºááœá²áááºáž á¡áá»áá¯ážáá¬ážáá¯á¶ááŒá¯á¶áá±ážá¡á±áá»ááºá á®ááẠNSA á¡á¬áž ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážááŒá±ááŸááºážáá»ááºáá»á¬ážá áá¯ááºáá¯ááºáá»á¬ážááŸáá·áº áááºáá±á¬ááºááŸá¯áá»á¬ážáá±ážáá±á¬ááºááẠááá¯á¡ááºáá±á¬ áá¯áá±ááááŸáá·áº á¡ááá·áºááŒáá·áºáááºážááá¬áá»á¬áž ááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯á¡ááœáẠáá¬áááºááŸááá«áááºá
ááá¯ááºáá¯á¶áá±á¬á áá¯á¶ááŒá¯á¶áá±á¬ áááºáááºááŸá¯á áá áºáá áºáᯠáááºáá®ážááŒááºážááẠá¡áá±ážááŒá®ážáá±á¬ áá¯áá±áá á áááºáá±á«áºááŸá¯áá áºáᯠááŒá áºáá±áá²ááŒá áºáááºá áá»áœááºá¯ááºááá¯á·ááááºážááá¯ááºááŸá¬ ááá¯á¡ááºáá±á¬áá¯á¶ááŒá¯á¶áá±ážáá¶á·ááá¯ážááŸá¯ááᯠáá¶á·ááá¯ážáá±ážááá·áº áááá±á¬ááºáá±á¬áááá¯áá¬áááºáá¬áá áºáá¯áááºáá®ážáááºá áááá¯ááááºáá»á¬ážááᯠáá¯á¶ážá áœá²áá°á¡ááœáẠá¡ááœááºááœáá·áºáááºážááŒááºáá¬ááá·áºáá¯á¶á á¶ááŒáá·áº áá¯ááºáá±á¬ááºáááºááŸáá·áº áá±á¬ááºážáá»áá°áá»á¬ážá¡ááœáẠááœá²áá±á¬ááºááŸá¯ááŸáá á±áááºááŒá áºáááºá á€áááºážááá¯ááºááᯠá¡á±á¬ááºááŒááºá á±áááºá¡ááœáẠá¡áá±ážááŒá®ážáá±á¬ááŒá±ááŸááºážáá áºáá¯ááẠá¡áááºážáá¶áááºáááºááŸá¯á áá áºááá¯á· ááœááºážá¡á¬ážáá±ážáááºáá±á¬ááºááááºážáá»á¯ááºááŸá¯ááá¹ááá¬ážáá»á¬ážááᯠáááºáá²á·ááá¯á· á¡á±á¬ááºááŒááºá áœá¬áá±á«ááºážá ááºááá¯ááºáááºááᯠáááºáá±ááŒáááºááŒá áºááŒá±á¬ááºáž áá»áœááºá¯ááºááá¯á·áá¯á¶ááŒááºáá«áááºá - áááºážááẠáááẠNSA OS áá¯áá±ááááŸáá·áº áááºááá¯á·áááºá
ááºááááºážá
NSA á National Information Assurance Research Laboratory ááŸáá·áº Secure Computing Corporation (SCC) á០áá¯áá±áá®áá»á¬ážááẠLOCK á áá áºá¡ááœáẠááááá¯á¶ážáá®ááœááºááá·áº ááá¹ááá¬ážááŒá áºááá·áº Type Enforcement ááá¯á¡ááŒá±áá¶á á¡á¬ážáá±á¬ááºážááŒá®áž ááá¯ááºáá»á±á¬áá®ááœá±ááŸááá±á¬ áááºáá±á¬ááºááááºážáá»á¯ááºááŸá¯áááá¯áá¬ááᯠáá®ááœááºáá²á·áááºá NSA ááŸáá·áº SCC ááá¯á·ááẠááŸá±á·ááŒá±ážáá¯á¶á ᶠMach-based áááá¯áá¬ááŸá áºáá¯- DTMach ááŸáá·áº DTOS (http://www.cs.utah.edu/flux/dtos/ ) ááá¯á·áá±á¬áẠNSA ááŸáá·áº SCC ááẠUtah ááá¹áááá¯ááºááŸá Flux áá¯áá±ááá¡ááœá²á·ááŸáá·áº áá°ážáá±á«ááºážáᬠFluke áá¯áá±áááá¯ááºáááºážáááºáááºááŸá¯á áá áºááá¯á· áááá¯áá¬ááá¬ááᯠáááºááœááºážáá²á·áááºá á€ááœá±á·ááŒá±á¬ááºážááŸá¯á¡ááœááºážá ááá¯ááºážááá áºáá¯á¶ááŒá¯á¶áá±ážáá°áá«ááá»á¬ážááᯠááá¯ááá¯áá±á¬ááºážááœááºá áœá¬áá¶á·ááá¯ážááá¯ááºááẠáááá¯áá¬áááºáá¬ááᯠááá·áºá ááºáá¬ážáá«áááºá á€ááá¯ážáááºáá±á¬ááºážááœááºáá±á¬ áááá¯áá¬áááºáá¬ááᯠFlask (http://www.cs.utah.edu/flux/flask/ ) ááá¯á¡áá« NSA ááẠáááºážááá¬ááᯠdeveloper áá»á¬ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá áá»ááºááŒáá·áºáá±á¬á¡ááá¯ááºážá¡ááá¯ááºážááá¯á· áá°áá±á¬ááºáá¬ááẠFlask áááá¯áá¬ááᯠLinux áááºáááºááŸá¯á áá áºááœáẠáá±á«ááºážá ááºáá¬ážáááºá - áá¯á¶ááŒá¯á¶áá±ážááŒáŸáá·áºáááºáá¬ážáá±á¬ Linux ááẠáá¯á¶ááŒááºá
áááºáá»ááá±á¬ áááºáááºááŸá¯á
áá
áºááŒá
áºáá«ááá¬ážá
"Trusted Operating System" áá°áá±á¬ á áá¬ážá á¯ááẠáá±áá°áá»á¡á¬ážááŒáá·áº á¡á áá¯ážáááá¯á¡ááºáá»ááºáá»á¬ážááŸáá·áº ááŒáá·áºáá®ááẠáá¯á¶ááŒá¯á¶áá±ážá¡ááœáŸá¬áá»á¬ážá áœá¬á¡ááœáẠáá¯á¶áá±á¬ááºáá±á¬ áá¶á·ááá¯ážááŸá¯áá±ážááá·áº áááºáááºááŸá¯á áá áºá¡á¬áž áááºááœáŸááºážáá«áááºá Security-Enhanced Linux ááẠá€á áá áºáá»á¬ážá០á¡áá¯á¶ážáááºáá±á¬ á¡ááŒá¶áá¬ááºáá»á¬ážááᯠáá±á«ááºážá ááºáá¬ážáá±á¬áºáááºáž áááºáá±á¬ááºááááºážáá»á¯ááºááŸá¯ááᯠááœááºážá¡á¬ážáá±ážááŒááºážá¡áá±á«áº á¡á¬áá¯á¶á áá¯ááºáááºá áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºááŒáŸáá·áºáá¬ážáá±á¬ Linux ááᯠáá®ááœááºááŒááºážá áááŠážáááºážááá¯ááºááŸá¬ áááºážááá¬ááᯠááá¯ááºááŒáááºá¡ááœáẠáááºááœá±á·ááá¹áá¬áááºáááºážáá»ááºáá»á¬ážá áœá¬ááœáẠááŒááºáá¬áááºáá¬ááŸááá±á¬ áá¯á¶ááŒá¯á¶áá±ážá¡áá»áá¯ážáá»á±ážáá°ážáá»á¬ážááᯠáá±ážáá±á¬ááºááá·áº á¡áá¯á¶ážáááºáá±á¬áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáááºáá®ážáááºááŒá áºáááºá SELinux ááá¯ááºááá¯ááºá áá¯á¶ááŒááºá áááºáá»ááá±á¬ áááºáááºááŸá¯á áá áºááá¯ááºáá±á¬áºáááºáž áááºážááẠáá¯á¶ááŒááºá áááºáá»ááá±á¬ áááºáááºááŸá¯á áá áºá០ááá¯á¡ááºáá±á¬ á¡áá±ážááŒá®ážáá±á¬ áá¯á¶ááŒá¯á¶áá±ážá¡ááºá¹áá«áááºááŒá áºááá·áº á¡á¬ážááŒáá·áºáááºáá±á¬ááºááááºážáá»á¯ááºááŸá¯á¡á¬áž áá±ážáá±á¬ááºáá«áááºá SELinux ááᯠLabeled Security Protection Profile á¡á á¡ááá·áºáááºááŸááºáá¬ážáá±á¬ Linux ááŒáá·áºáá±ááŸá¯áá»á¬ážááœáẠáá±á«ááºážá ááºážáá¬ážáá«áááºá á ááºážáááºááŒá®ážáá¬áž áá¯ááºáá¯ááºááœá±á¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºááœá±ááᯠááŸá¬ááŒáá·áºááá¯ááºáá«áááºáhttp://niap-ccevs.org/ . - áá°á ááááºáá² áá¬ááœááºáá¬ážááá¬ážá
áá¯á¶ááŒá¯á¶áá±á¬á áá áºá á¡áá°á¡áááœáẠá¡áááºá¡áá»ááºážáá»á¬ážá áœá¬áá«áááºááẠ(á¥ááá¬á áá¯ááºááá¯ááºážááá¯ááºáá¬áá¯á¶ááŒá¯á¶áá±ážá áááºáááºážáá¯á¶ááŒá¯á¶áá±ážá á áááº) ááŸáá·áº Linux ááẠááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ áá¯á¶ááŒá¯á¶áá±ážááááºá á¬áá»á¬ážáá«ááŸáááá·áº á€á¡ááºá¹áá«áááºáá»á¬ážá á¡ááœááºáá»ááºážááŒá±á¬ááºážáá±á¬á¡á á¯áá áºáá¯áᬠ(ááá¯ááá¯áááºááŸá¬á áááºáááºááŸá¯á áá áºááŸá ááŒáá¹áá¬ááºážáááºáá±á¬ááºááœáá·áºááááºážáá»á¯ááºááŸá¯áá»á¬áž) . áá áºáááºážááá¯ááá±á¬áºá âáá¯á¶ááŒá¯á¶áá±á¬á áá áºâ ááá¯áááºááŸá¬ á¡áá»ááºá¡áááºááá¯ááºááŸááºááŸáá·áº/ááá¯á·ááá¯áẠá¡áá¯á¶ážááŒá¯áá°á¡á¬áž ááááá±ážáá¶ááá±á¬ áááá·áºáááºáá°áá¶á០á¡ááŸááºááááºááá¹áá¬ááŸá á¡áá»ááºá¡áááºá¡áá»áá¯á·ááᯠáá¬ááœááºááẠáá¯á¶áá¯á¶áá±á¬ááºáá±á¬áẠáá¯á¶ááŒá¯á¶áááºáᯠááá¯ááá¯áááºá Security Enhanced Linux ááẠLinux áá²á·ááá¯á·áá±á¬ áá±ááºáá®áááºáááºááŸá¯á áá áºááœáẠááá¯á¡ááºáá±á¬ ááááºážáá»á¯ááºááŸá¯áá»á¬ážááᯠááá¯ááºááŒááááºáᬠáááºááœááºáá¬ážááŒá®áž ááá¯á·ááŒá±á¬áá·áº áá¯á¶ááŒá¯á¶áá±á¬á áá áºá á áááºáááºá á¬ážááœáẠá¡áááá¹áá«ááºááœáá·áºááá¯áá»ááºáá»á¬ážááᯠáááºážááá¯ááºááá¯áẠááŒáá·áºáááºážááẠáááŒá áºááá¯ááºáá«á áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºááŒáŸáá·áºáá¬ážáá±á¬ Linux ááœáẠááá¯ááºááŒáá¬ážááá·áºáááºážááá¬ááẠáá¯á¶ááŒá¯á¶áá±á¬á áá áºáá»á¬ážááᯠáááºáá±á¬ááºáá°áá»á¬ážá¡ááœáẠá¡áá¯á¶ážáááºáááºáᯠáá»áœááºá¯ááºááá¯á·áá¯á¶ááŒááºáá«áááºá - á¡á¬ááá¶áá»ááºááᯠááŒáŸáá·áºáááºááẠáááºáá¬áá¯ááºáá²á·ááááºážá
á€ááá±á¬áá»ááºá áááºááœááºáá»ááºááŸá¬ Linux ááá¯á· á¡áááºážáááºáá±á¬ ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááŒáá·áº á áá¯ážááá¯ážáá±áž ááááºážáá»á¯ááºááŸá¯áá»á¬ážááᯠááá·áºááœááºážáááºááŒá áºáááºá á€áá±á¬ááºáá¯á¶ážáááºážááá¯ááºááẠá¡á¬ááá¶ááŸá¯ááᯠááŒáŸáá·áºáááºááẠáá¯ááºáá±á¬ááºááá¯ááºááá·áºá¡áá¬áá»á¬ážááᯠá¡ááœááºááá·áºáááºáá¬ážáá±á¬ááŒá±á¬áá·áº Linux á¡á¬ááá¶áá»ááºááᯠááá¯ááá¯áá±á¬ááºážááœááºáá¬á á±ááẠáááºááœááºááá·áºá¡áá¯ááºáá»áá¯áž áááŸááá±ážáá«á á¡ááŒá¬ážáá áºáááºááœááºá ááá¯ážáááºááŸá¯áá»á¬ážááẠá¡á¬ááá¶áá»ááºááŒáá·áºáá¬ážáá±á¬ áá¯á¶ááŒá¯á¶áá±ážáááá¯áá¬áá»á¬ážááᯠáá®ááá¯ááºážáá¯ááºááŒááºážááá¯ááºáᬠááááºá¡áá¯ááºá¡áá±á«áºááœáẠáááºáá±á¬ááºáá¬ážááŒá®áž á€áá®ááá¯ááºážáá°áá»á¬ážááᯠááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ áá¯á¶ááŒá¯á¶áá±ážááŒáá·áº Linux ááá¯á· ááœáŸá²ááŒá±á¬ááºážáá±ážáá«áááºá - CEVS ááẠLinux ááᯠá¡ááá·áºááŒáŸáá·áºáá¬ážáá±á¬ áá¯á¶ááŒá¯á¶áá±ážááŒáá·áº á¡ááá·áºáááºááŸááºáááºáá¬ážá
Security-Enhanced Linux ááá¯ááºááá¯ááºá áá¯á¶ááŒá¯á¶áá±ážáááá¯ááá¯ááºá០áááºááŒáá¬ážáá±á¬ áá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠááŒá¿áá¬á¡á á¯á¶á¡áááºááᯠááŒá±ááŸááºážááẠáá®ááá¯ááºážáá¯ááºáá¬ážááŒááºáž ááá¯ááºáá«á áááºážá áááºááŸááá¯ááºáá±á¬ááºááá¯ááºá áœááºážááá¯áᬠá¡áá²ááŒááºááẠááŒá áºááá¯ááºáá±á¬áºáááºážá ááá¯ááá¯á·áá±á¬ á¡áá²ááŒááºááŸá¯ááẠá¡ááá·áºá¡áááºáááºááá¯ážááŸááááºáᯠáá»áœááºá¯ááºááá¯á· áá¯á¶ááŒááºáá«áááºá ááá¯á·áá±á¬áºáááºážá á¡áá²ááŒááºááŒá®ážáá±á¬ Linux ááŒáá·áºáá±ááŸá¯áá»á¬ážááœáẠá€áááºážááá¬ááᯠá¡ááŒá¬ážáá°áá»á¬ážááŸáá·áº áááºááœá²áá¯ááºáá±á¬ááºááŒá®áž á¡áá²ááŒááºáá¬ážááá·áº ááŒáá·áºááŒá°ážááŸá¯áá»á¬ážááœáẠáá«áááºáá«áááºá á ááºážáááºááŒá®ážáá¬áž áá¯ááºáá¯ááºááœá±á¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºááœá±ááᯠááŸá¬ááŒáá·áºááá¯ááºáá«áááºáhttp://niap-ccevs.org/ . - á¡á¬ážáááºážáá»ááºááœá±ááᯠááŒááºááá¯á· ááŒáá¯ážá
á¬ážááŒá®ážááŒá®áá¬ážá
ááá¯ááºáá«á áá»áœááºá¯ááºááá¯á·ááẠáá»áœááºá¯ááºááá¯á·ááá¯ááºáááºážááœááºá¡ááœááºáž á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠááŸá¬áááœá±á·áá²á·áá«á áá»áœááºá¯ááºááá¯á·ááẠáá»áœááºá¯ááºááá¯á·áááá¹ááá¬ážá¡áá áºáá»á¬ážááᯠááá·áºááœááºážáááºá¡ááœáẠá¡áááá·áºáá¯á¶ážá¡áááá·áºáá¯á¶ážááá¯áᬠáá¯ááºáá±á¬ááºááŒá®ážááŒá áºáááºá - á€á
áá
áºááᯠá¡á
áá¯ážáá¡áá¯á¶ážááŒá¯ááẠááœáá·áºááŒá¯áá¬ážáá«ááá¬ážá
áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºááŒáŸáá·áºáá¬ážáá±á¬ Linux ááẠá¡ááŒá¬áž Linux áá¬ážááŸááºážáá»á¬ážá¡ááœáẠá¡á áá¯ážáá¡áá¯á¶ážááŒá¯ááŸá¯á¡ááœáẠá¡áá°áž ááá¯á·ááá¯áẠá¡ááá¯áááºáá±á¬ááºážááœáá·áºááŒá¯áá»ááºáááŸááá«á áá¯á¶ááŒá¯á¶áá±áž-ááŒáŸáá·áºáááºáá¬ážáá±á¬ Linux ááœáẠá¡á áá¯ážáá¡áá¯á¶ážááŒá¯ááŸá¯á¡ááœáẠá¡áá°áž ááá¯á·ááá¯áẠá¡ááá¯ááœáá·áºááŒá¯áá»ááºáááŸááá«á - áááºážááẠá¡ááŒá¬ážáá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº áááºááá¯á·ááœá¬ááŒá¬ážááááºážá
Security-Enhanced Linux ááœáẠáá¯á¶á á¶áá°á áá áºáá»á¬ážá áœá¬ (DTMachá DTOSá Flask) ááᯠá¡áá¯á¶ážááŒá¯á á ááºážáááºá á áºáá±ážá¡áááºááŒá¯áá¬ážááá·áº ááá¯ááºáá»á±á¬áá®ááœá±ááŸááá±á¬ áááºáá±á¬ááºááááºážáá»á¯ááºááŸá¯á¡á¬áž ááá¯ááºáá»á±á¬áá®ááœá±ááŒá áºá á±áááºá¡ááœáẠáá±á¬ááºážá áœá¬áááºááŸááºáá¬ážáá±á¬ áááá¯áá¬áá áºáá¯ááŸááááºá áá¯á¶ááŒá¯á¶áá±ážáá°áá«á á¡áá»á¬ážá¡ááŒá¬ážááᯠáá¶á·ááá¯ážáá±ážááá¯ááºááá·áº áááá¯áá¬áááºáá¬á á áœááºážáááºááŸáá·áºáááºáááºá á¡áá±ážá áááºáá±á·áá¬ááŸá¯áá»á¬ážááᯠáá¯ááºáá±á¬ááºáá²á·ááŒá®áž ááœáẠáááŸáááá¯ááºáá«áááºáhttp://www.cs.utah.edu/flux/dtos/ Оhttp://www.cs.utah.edu/flux/flask/ .
áááá¯áá¬áááºáá¬ááẠá¡ááŒá¬ážá áá áºáá»á¬ážá០ááááºážáá»á¯ááºááŒááºážáááŸááá±á¬ kernel abstractions áá»á¬ážááŸáá·áº áááºáá±á¬ááºááŸá¯áá»á¬ážá áœá¬ááᯠáá±á¬ááºážá áœá¬ááááºážáá»á¯ááºáá±ážáá«áááºá áá¯á¶ááŒá¯á¶áá±ážááá¯ážááŒáŸáá·áºáá¬ážáá±á¬ Linux á áá áºá áá°ážááŒá¬ážáá»ááºá¡áá»áá¯á·ááŸá¬-- áá°áá«áááᯠáá»áŸá±á¬ááºáá¬ážááœáá·áºááŸáá·áº ááœá²ááŒá¬ážááŸááºážáááºážáá«á
- áá±á¬ááºážááœááºá áœá¬áááºááŸááºáá¬ážáá±á¬ áá°áá«áááŒá¬ážáá¶áá»á¬áž
- áá®ážááŒá¬ážáá°áá«ááá»á¬ážááŸáá·áº áá°áá«ááá¬áá¬á áá¬ážáá»á¬ážá០á¡ááŸá®á¡ááá¯áááºážááŸá¯
- áá®ážááŒá¬ážáá¯á¶ááŒá¯á¶áá±áž á¡ááœáŸááºážáá±á¬áºáááºáá»á¬ážááŸáá·áº á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážá ááœááºáááºááŸá¯
- kernel á¡áá¬ááá¹áá¯áá»á¬ážááŸáá·áº áááºáá±á¬ááºááŸá¯áá»á¬ážá¡ááœáẠáá®ážááŒá¬ážáá¶ááááºáá»á¬ážááŸáá·áº ááááºážáá»á¯ááºááŸá¯áá»á¬áž
- áááá±á¬ááºááŸá¯á¡ááœáẠCaching access áá¯á¶ážááŒááºáá»ááºáá»á¬áž
- áá°áá«áá¡ááŒá±á¬ááºážá¡áá²áá»á¬ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯
- áá¯ááºáááºážá ááºá¡á áá»áá¯ážááŒááºážááŸáá·áº áááá¯ááááºá¡ááœá±áááºáá¶ááŒááºážááŸáá·áº áá¯ááºáá±á¬ááºááŒááºážááá¯á·ááᯠááááºážáá»á¯ááºáá«á
- ááá¯ááºá áá áºáá»á¬ážá áááºážááœáŸááºáá»á¬ážá ááá¯ááºáá»á¬ážááŸáá·áº ááá¯ááºááœáá·áºáá±á¬áºááŒáá»ááºáá»á¬ážááᯠá á®áá¶áá«á
- sockets áá»á¬ážá áááºáá±á·áá»áºáá»á¬ážááŸáá·áº network interface áá»á¬ážááᯠá á®áá¶ááá·áºááœá²ááŒááºážá
- âá¡ááœáá·áºá¡áááºážáá»á¬ážâ á¡áá¯á¶ážááŒá¯ááŸá¯ááᯠááááºážáá»á¯ááºáá«
- áá®á
áá
áºá¡ááœáẠááá¯ááºá
ááºááá·áºáááºáá»ááºááœá±á áá¬ááœá±áá²á
áááºááá¯ááºáá±á«áºááœáẠááœá±á·ááŸááááá·áº á¡áááºážá¡ááŒá áºáá¯ááºá¡á¬ážáá¯á¶ážhttps://www.nsa.gov áá°áááºážá¡áááºážá¡ááŒá áºáá¯ááºááŸáá·áº áá°áá®áá±á¬áááºááŸááºáá»ááºáá»á¬ážá¡á±á¬ááºááœáẠááŒáá·áºáá±áá¬ážáááºá á¥ááá¬á¡á¬ážááŒáá·áºá á€áá±áá¬ááœááºáááŸáááá¯ááºáá±á¬ áááºááŸá utilities áá»á¬ážá¡ááœáẠLinux kernel á¡ááœáẠpatches áá»á¬ážááŸáá·áº patch áá»á¬ážááᯠáááºááŸááºáá»ááºáá»á¬ážá¡á±á¬ááºááœáẠáá¯ááºááŒááºáá¬ážáá«áááºáGNU á¡ááœá±ááœá±ááŒááºáá°á·ááá¯ááºá áẠ(GPL) . - ááá¯á·áá¯ááºááááºážáá»á¯ááºááŸá¯áá»á¬áž ááŸááá«ááá¬ážá
ááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ áá¯á¶ááŒá¯á¶áá±ážáá«áá±á¬ Linux ááœáẠá¡ááŒá¬áž Linux áá¬ážááŸááºážáá»á¬ážááŸáá·áº ááŸáá¯ááºážááŸááºáá«á áá±á¬ááºááẠáááºááá¯á·ááŸá¯ ááááºážáá»á¯ááºááŸá¯áá»á¬áž áááŸááá«á - NSA ááẠááŒááºááœááºážá á¡áá¯á¶ážááŒá¯ááẠá¡á
á®á¡á
ááºááŸááá«ááá¬ážá
áááºááŸá¬ážáá±á¬á¡ááŒá±á¬ááºážááŒáá»ááºáá»á¬ážá¡ááœáẠNSA ááẠáá¯ááºáááºážáááºáááºá¡áá¯á¶ážááŒá¯ááŸá¯ááŸáá·áºáááºáááºá ááŸááºáá»ááºááá±ážáá±á - Secure Computing Corporation á០áá°ááá¯ááºá 26 áááºá 2002 áá¯ááŸá
Ạáá¯ááºááŒááºáá»ááºááœáẠSELinux ááᯠGNU á¡ááœá±ááœá±á¡áá»á¬ážááŒááºáá°ááá¯ááºá
ááºá¡á±á¬ááºááœáẠáá±ážá¡ááºáá¬ážááá·áº NSA á áááºáááºáá»ááºááᯠááŒá±á¬ááºážáá²á
á±áá«ááá¬ážá
NSA á áááºáááºáá»ááºááŸá¬ áááŒá±á¬ááºážáá²áá«á GNU á¡ááœá±ááœá±á¡áá»á¬ážááŒááºáá°ááá¯ááºá ááºá á ááºážáááºážáááºááŸááºáá»ááºáá»á¬ážááŸáá·áº á¡ááŒá±á¡áá±áá»á¬ážááẠSELinux áá¡áá¯á¶ážááŒá¯ááŸá¯á áá°ážáá°ááŸá¯á ááŒáá·áºááŒá°ážááŸá¯ááŸáá·áº ááŒá¯ááŒááºááœááºážáá¶ááŸá¯áá»á¬ážááᯠááááºážáá»á¯ááºáá¬ážááŒá±á¬ááºáž NSA á áááºáááºáá¯á¶ááŒááºáááºá á ááºáá®áá®áá¬ááááºááá«áá®á á áááºá áááá áá¯ááŸá ẠNSA á ááááºážáá¯ááºááŒááºáá»áẠ. - NSA ááẠopen source software ááᯠáá¶á·ááá¯ážáá«ááá¬ážá
NSA ááá±á¬á·ááºáá²áá¯á¶ááŒá¯á¶áá±ážá¡á áá»áá¯ážááŸá¯áá»á¬ážááẠáá áºáŠážáááºážááá¯ááºááŸáá·áº open source áá±á¬á·ááºáá²ááºááŸá áºáá»áá¯ážáá¯á¶ážááᯠá¡áá»á¯á¶ážáááºááŒá®áž áá»áœááºá¯ááºááá¯á·ááá¯áá±áááá¯ááºáááºážáá»á¬ážááœáẠáá°ááá¯ááºááŸáá·áº open source áá±á¬áºáááºááŸá áºáá¯áá¯á¶ážááᯠá¡á±á¬ááºááŒááºá áœá¬á¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá áá±á¬á·ááºáá²ááºáá¯á¶ááŒá¯á¶áá±ážááᯠááŒáŸáá·áºáááºááẠNSA á á¡áá¯ááºááẠááá¯ážááŸááºážáá±á¬ááá·áºááœááºážá ááºážá á¬ážááŸá¯áá áºáá¯ááŒá±á¬áá·áº ááŸá¯á¶á·áá±á¬áºáá¶ááááº- NSA áá¯á¶ážá áœá²áá°áá»á¬ážá¡á¬áž áááºážááá¯á·á á¡áá¯á¶ážá¡áá»á¬ážáá¯á¶ážáá¯ááºáá¯ááºáá»á¬ážááœáẠá¡áá±á¬ááºážáá¯á¶ážááŒá áºááá¯ááºáá±á¬ áá¯á¶ááŒá¯á¶áá±ážááœá±ážáá»ááºááŸá¯áá»á¬ážááᯠáá±ážáá±á¬ááºááẠáá»áœááºá¯ááºááá¯á·áá¡áááºážá¡ááŒá áºáá»á¬ážááᯠá¡áá¯á¶ážáá»áá«á NSA áá¯áá±áááááá¯ááááºá áááºááŸááºážáá»ááºááŸá¬ áá±ážááá¯á·ááŸá¯ááá¹ááá¬ážá¡áá»áá¯ážáá»áá¯ážááŸáá áºááá·áº áá±á¬á·ááºáá²ááœá¶á·ááŒáá¯ážááá¯ážáááºáá±ážá¡ááá¯ááºážá¡ááá¯ááºážááŸáá·áº áá»áŸáá±ááá¯ááºááá·áº áááºážááá¬ááá¯ááºáᬠááá¯ážáááºááŸá¯áá»á¬ážááᯠááœá¶á·ááŒáá¯ážááá¯ážáááºá á±áááºááŒá áºáááºá NSA ááẠáááºááá·áº áá®ážááŒá¬ážáá±á¬á·ááºáá²áẠáá¯ááºáá¯áẠááá¯á·ááá¯áẠáá¯ááºáááºážáá¯á¶á á¶ááá¯áááᯠáá±á¬ááºáá¶ááŒááºáž ááá¯á·ááá¯áẠááŒáŸáá·áºáááºááŒááºážáááŒá¯áá«á áááºážá¡á á¬áž NSA ááẠáá¯á¶ááŒá¯á¶áá±ážááᯠááŒáŸáá·áºáááºáá±áááºá - NSA ááẠLinux ááá¯áá¶á·ááá¯ážáá«ááá¬ážá
á¡áááºááœááºáá±á¬áºááŒáá²á·ááá·áºá¡ááá¯ááºážá NSA ááẠáááºááá·áº áá®ážááŒá¬ážáá±á¬á·ááºáá²áá¯ááºáá¯áẠááá¯á·ááá¯áẠááááºáá±á¬ááºážááá¯áááᯠáá±á¬ááºáᶠááá¯á·ááá¯áẠááŒáŸáá·áºáááºááŒááºážáááŒá¯áá«á NSA ááẠáá¯á¶ááŒá¯á¶áá±ážááᯠááá¯ááá¯áá±á¬ááºážááœááºá¡á±á¬ááºáᬠáá°áá®áá±ážáááºá SELinux áááºááœáŸááºážá¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯ááœáẠááá¯ááºááŒáá¬ážááá·áº Flask áááá¯áá¬ááᯠSolarisá FreeBSD ááŸáá·áº Darwin á¡áá«á¡ááẠá¡ááŒá¬ážáááºáááºááŸá¯á áá áºáá»á¬ážá áœá¬áᶠáá±ážááá¯á·áá¬ážááŒá®áž Xen hypervisor ááá¯á· áá±ážááá¯á·áá¬ážááŒá®áž X Window Systemá GConfá D-BUS áá²á·ááá¯á·áá±á¬ á¡ááá®áá±ážááŸááºážáá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºááŒá áºáááºá PostgreSQL Flask áááá¯áá¬á¡áá°á¡ááá»á¬ážááẠá áá áºáá»á¬ážááŸáá·áº áááºáááºážáá»ááºáá»á¬ážá áœá¬ááœáẠáá»ááºáá»ááºááŒáá·áºááŒáá·áº á¡áá¯á¶ážáá»ááá¯ááºáááºá
áá°ážáá±á«ááºážáá±á¬ááºááœááºááŒááºáž
- Linux á¡ááá¯ááºá¡áááºážááŸáá·áº áááºááá¯á·á¡ááŒááºá¡ááŸááºáááºáá¶ááẠáá»áœááºá¯ááºááá¯á· á¡á
á®á¡á
ááºááœá²áá¬ážááááºážá
áá«ááá¯á·ááŸá¬ááŸááááºNSA.gov ááœáẠáááºá á¬áá»ááºááŸá¬áá»á¬áž á¡á á¯á¶ááŸááááºá ááá¯ááá¯áá±á¬ááºážááœááºáá±á¬áá¯á¶ááŒá¯á¶áá±ážááŒáá·áº Linux ááŸáá·áºáááºáááºáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááᯠáá»áœááºá¯ááºááá¯á·áá¡ááááááºážáááºážá¡ááŒá Ạáá¯ááºáá±ááá¯ááºáááºááŒá áºáááºá áááºááẠáá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºááŒáŸáá·áºáááºáá¬ážáá±á¬ Linux ááᯠá áááºáááºá á¬ážáá«áá áá±á¬á·ááºáá²áá±ážáá¬ážáá°áá±ážááºááá¯á·á á¬áááºážááœáẠáá«áááºáááºá á¡áááºážá¡ááŒá áºáá¯ááºááᯠááŒááºáááºáá¯á¶ážáááºááŒá®áž áááºááá¯á¶á·ááŒááºáá»áẠ(ááá¯á·ááá¯ááº) áá¯ááºááᯠáá±ážáá±á¬ááºááẠáá»áœááºá¯ááºááá¯á· ááá¯ááºááœááºážáá«áááºá áá±á¬á·ááºáá²áá±ážáá¬ážáá°áá»á¬áž á á¬ááá¯á·á á¬áááºážááœáẠáá«áááºáááºá ááŒáá·áºáá«áSELinux áá±á¬á·ááºáá²áá±ážáá¬ážáá° áá±ážááºááá¯á·á á¬áááºáž á á¬áá»ááºááŸá¬ . - áááºáá°áá°áá®ááá¯ááºááá²á
SELinux ááẠááá¯á¡áá« open source Linux áá±á¬á·ááºáá²ááºá¡ááá¯ááºážá¡ááá¯ááºážá០áá¶á·ááá¯ážáá±ážáá¬ážááŒá®áž áá®ááœááºáá¯ááºáá¯ááºáá¬ážáá«áááºá - NSA ááẠáá±á¬ááºáááºááœá²áá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááᯠáááºáá¯á¶ááœá±áá±á¬ááºáá¶á·áá±áá«ááá¬ážá
NSA ááẠáááºááŸáááœáẠáá±á¬ááºáááºá¡áá¯ááºá¡ááœáẠá¡ááá¯ááŒá¯áá»ááºáá»á¬ážááᯠááá·áºááœááºážá ááºážá á¬ážááŒááºážáááŸááá±á - áááºááá¯á·áá±á¬ áá¶á·ááá¯ážáá°áá®ááŸá¯áá»áá¯áž áááá¯ááºááááºážá
áá»áœááºá¯ááºááá¯á·ááẠá á¬ááá¯á·á á¬áááºážááŸáá áºááá·áº ááŒá¿áá¬áá»á¬ážááᯠááŒá±ááŸááºážááẠáááºááœááºáá«áááºá [á¡á®ážáá±ážááºááá¯áá¬ááœááºáá¬ážáááº]ááá¯á·áá±á¬áº ááá¯ááºáá áºáá¯ááŸáá·áº áááºááá¯ááºááá·áº áá±ážááœááºážá¡á¬ážáá¯á¶ážááᯠáá»áœááºá¯ááºááá¯á· áááŒá±ááá¯ááºáá«á - áááºáá°á áá°áá®áá²á·áá¬áá²á áá°ááá¯á·áá¬áá¯ááºáá²á·ááŒááá²á
áá¯á¶ááŒá¯á¶áá±ážááá¯ážááŒáŸáá·áºáá¬ážáá±á¬ Linux ááŸá±á·ááŒá±ážáá¯á¶á á¶ááᯠáá¯áá±áááá¯ááºáá±á¬áºááá¯ááºááẠNAI Labsá Secure Computing Corporation (SCC) ááŸáá·áº MITER Corporation ááá¯á·ááŸáá·áºá¡áá° NSA á០áá®ááœááºáá²á·ááŒááºážááŒá áºáááºá áááŠážá¡áá»á¬ážááŒááºáá°ááá¯á· ááŒáá·áºáá»áááŒá®ážáá±á¬ááºá á¡ááŒá¬ážá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážá áœá¬ááᯠáááºáááºáá±á¬áºááŒáá²á·áááºááá«áááºáá°áá»á¬ážá á¬áááºážááᯠááŒáá·áºáá«á . - áá±á¬ááºááẠáááºááá¯ááŸá¬ááœá±ááá¯ááºááá²á
áá»áœááºá¯ááºááá¯á·á áááºá á¬áá»ááºááŸá¬áá»á¬ážááᯠáááºáááºááŒáá·áºááŸá¯áááºá á á¬ááœááºá á¬áááºážáá»á¬ážááŸáá·áº á¡ááááºá áá¯áá±ááá á¬áááºážáá»á¬ážááᯠáááºááŸá¯ááŒá®áž áá»áœááºá¯ááºááá¯á·áá á¬ááá¯á·á á¬áááºážááœáẠáá«áááºááẠáá»áœááºá¯ááºááá¯á· ááá¯ááºááœááºážáá«áááºá [á¡á®ážáá±ážááºááá¯áá¬ááœááºáá¬ážáááº]
áá¬áá¬ááŒááºáᬠá¡áá¯á¶ážáááºáááºááá¯á· áááºáá«ááá¬ážá ááŸááºáá»ááºáá»á¬ážáá±ážáá«á
source: www.habr.com