安全增强型 Linux 提供了哪些标准 Linux 无法提供的功能?
安全性增强的 Linux 内核强制执行访问控制策略,将用户程序和系统服务器限制为完成其工作所需的最低权限。 通过此限制,这些用户程序和系统守护程序在受到损害(例如,由于缓冲区溢出或配置错误)时造成损害的能力会减少或消除。 这种限制机制独立于传统的 Linux 访问控制机制。 它没有“root”超级用户的概念,也没有传统Linux 安全机制的众所周知的缺点(例如,对setuid/setgid 二进制文件的依赖)。
未经修改的 Linux 系统的安全性取决于内核、所有特权应用程序及其每个配置的正确性。 这些区域中的任何一个出现问题都可能危及整个系统。 相比之下,基于安全增强型Linux内核修改后的系统的安全性主要取决于内核的正确性及其安全策略的配置。 虽然应用程序正确性或配置问题可能会导致单个用户程序和系统守护程序受到有限的损害,但它们不会对其他用户程序和系统守护程序或整个系统的安全构成安全风险。
她有什么好处?
Linux 的新安全增强功能旨在根据机密性和完整性要求提供信息隔离。 它们旨在防止进程读取数据和程序、篡改数据和程序、绕过应用程序安全机制、执行不受信任的程序或违反系统安全策略干扰其他进程。 它们还有助于限制恶意软件或有缺陷的程序可能造成的潜在损害。 它们还应该有助于确保具有不同安全权限的用户可以使用同一系统访问具有不同安全要求的不同类型的信息,而不会影响这些要求。
我可以在现有的 Linux 系统上安装强化 Linux 吗?
是的,您只能在现有的 Linux 系统上安装 SELinux 修改版,也可以安装已包含 SELinux 支持的 Linux 发行版。 SELinux 由支持 SELinux 的 Linux 内核、一组核心库和实用程序、一些修改的用户包以及策略配置组成。 要将其安装在缺乏 SELinux 支持的现有 Linux 系统上,您必须能够编译该软件,并且还拥有其他所需的系统软件包。 如果您的 Linux 发行版已包含对 SELinux 的支持,则无需构建或安装 NSA 版本的 SELinux。
安全增强型 Linux 与未经修改的 Linux 的兼容性如何?
安全增强型 Linux 提供与现有 Linux 应用程序和现有 Linux 内核模块的二进制兼容性,但某些内核模块可能需要修改才能与 SELinux 正确交互。 下面详细讨论这两个兼容性类别:
应用兼容性
SELinux 提供与现有应用程序的二进制兼容性。 我们扩展了内核数据结构以包含新的安全属性,并为安全应用程序添加了新的 API 调用。 但是,我们没有更改任何应用程序可见的数据结构,也没有更改任何现有系统调用的接口,因此只要安全策略允许,现有应用程序仍然可以运行。
内核模块兼容性
最初,SELinux 仅提供对现有内核模块的初步兼容性; 有必要使用修改后的内核头重新编译此类模块,以获取添加到内核数据结构中的新安全字段。 由于LSM和SELinux现已集成到主流Linux 2.6内核中,SELinux现在提供了与现有内核模块的二进制兼容性。 然而,某些内核模块在不进行修改的情况下可能无法与 SELinux 很好地交互。 例如,如果内核模块直接分配和设置内核对象而不使用正常的初始化函数,则该内核对象可能不具有正确的安全信息。 某些内核模块也可能对其操作缺乏适当的安全控制; 任何现有的对内核函数或权限函数的调用也将触发 SELinux 权限检查,但可能需要更细粒度或额外的控制来执行 MAC 策略。
如果安全策略配置允许所有必要的操作,那么安全增强型 Linux 不应与常规 Linux 系统产生互操作性问题。
为什么选择 Linux 作为基础平台?
由于 Linux 的日益成功和开放的开发环境,Linux 被选为这项工作的初始参考实现平台。 Linux 提供了一个绝佳的机会来证明此功能可以在主机操作系统上成功,同时有助于确保广泛使用的系统的安全性。 Linux 平台还为这项工作提供了一个绝佳的机会,以获得尽可能广泛的视野,并可能作为其他爱好者进行额外安全研究的基础。
安全性增强的Linux是可靠的操作系统吗?
“受信任的操作系统”一词通常是指为分层安全性和验证提供足够支持以满足一组特定政府要求的操作系统。 安全增强型 Linux 融合了这些系统的有用见解,但重点关注强制访问控制。 开发安全增强型 Linux 的最初目标是创建有用的功能,在广泛的现实环境中提供切实的安全优势,以展示这项技术。 SELinux 本身并不是一个可信操作系统,但它确实提供了可信操作系统所必需的关键安全功能——强制访问控制。 SELinux 已集成到根据标签安全保护配置文件进行评级的 Linux 发行版中。 有关经过测试和测试的产品的信息可以在以下位置找到: http://niap-ccevs.org/.
她真的受到保护了吗?
安全系统的概念包括许多属性(例如,物理安全、人员安全等),而具有增强安全性的 Linux 仅涉及这些属性中的一小部分(即操作系统的强制控制)。 换句话说,“安全系统”意味着足够安全,足以保护现实世界中的某些信息免受真实对手的侵害,信息的所有者和/或用户会受到警告。 安全增强型 Linux 只是为了展示像 Linux 这样的现代操作系统中所需的控制,因此它本身不太可能符合任何有趣的安全系统定义。 我们相信,安全增强型 Linux 中展示的技术将对构建安全系统的人们有用。
您采取了哪些措施来改善保障?
该项目的目标是通过对 Linux 进行最小的更改来添加强制访问控制。 最后一个目标严重限制了改进保修的工作,因此还没有任何改进 Linux 保修的工作。 另一方面,这些改进建立在先前设计高安全性安全架构的工作基础上,并且大部分设计原则已被延续到安全增强型 Linux 中。
CCEVS 会评估具有增强安全性的 Linux 吗?
就其本身而言,具有增强安全性的 Linux 并不是为了解决安全配置文件所代表的全套安全问题而设计的。 虽然可以仅评估其当前的功能,但我们认为这种评估的价值有限。 然而,我们已经与其他人合作,将该技术纳入已评估和正在评估的 Linux 发行版中。 有关经过测试和测试的产品的信息可以在以下位置找到: http://niap-ccevs.org/.