Новые модули для подсистемы безопасности SElinux: - PowerPoint PPT Presentation

slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Новые модули для подсистемы безопасности SElinux: PowerPoint Presentation
Download Presentation
Новые модули для подсистемы безопасности SElinux:

play fullscreen
1 / 16
Новые модули для подсистемы безопасности SElinux:
183 Views
Download Presentation
agamemnon-elena
Download Presentation

Новые модули для подсистемы безопасности SElinux:

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Новые модули для подсистемы безопасности SElinux: Loadable Policy Modules, Multi-Category Security, Reference Policy Иванов Павел Алексеевич XLIII Всероссийская конференция по проблемам математики, информатики, физики и химии МОСКВА 2007 г.

  2. Содержание • Список источников • Подсистема безопасности SELinux • Новые модули SELinux • Заключение

  3. Список источников • SELinux Loadable Policy Modules.— http://sepolicy-server.sourceforge.net/index.php?page=modules • A presentation at the 2005 SELinux Symposium by Karl MacMillan.— http://sepolicy-server.sourceforge.net/files/2-PolicyManagement.pdf • James Morris. Getting Started with Multi-Category Security.— http://james-morris.livejournal.com/8228.html • Tresys Technology.— http://oss.tresys.com/projects/refpolicy

  4. Традиционное обеспечение безопасности в Linux • Сам пользователь отвечает за состояние системы • Нет возможности гибко регулировать права доступа • Предоставление приложению избыточных прав • отсутствие разграничения прав доступа к некоторым важным объектам системы

  5. Подсистема безопасности SELinux • Надстройка для расширения системы безопасности Linux • Реализует мандатную модель безопасности • Включает в себя модули ядра, разделяемые библиотеки для написания приложений, использующих особенности SELinux, утилиты • Проект находится в стадии непрерывной разработки и новые возможности, улучшения вводятся достаточно часто

  6. Новые модули SELinux • Loadable Policy Modules • Multi-Category Security • Reference Policy

  7. Loadable Policy Modules • Существующие политики безопасности не вполне отвечают современным требованиям • Компанией Tresys Technology разрабатывалась подсистема загружаемых модулей политик (SELinux Loadable Policy Modules) с целью исправить существующие недостатки • Сейчас проект разрабатывается NSA

  8. Loadable Policy Modules • Возможность динамического добавления и исключения политик приложений • Обновление существующих модулей • Полная совместимость с ядром системы • Поддержка инфраструктуры • Инфраструктура состоит из двух основных компонентов: инструментов для создания политик и оболочки для управления ими

  9. Loadable Policy Modules

  10. Multi-Category Security • Модуль основан на дискреционной модели безопасности, с добавлением элементов из мандатной • Ядро MCS представляет собой набор из 256 категорий, которые могут быть присвоены каждому процессу

  11. Multi-Category Security

  12. Reference Policy • Модуль разрабатывается Tresys Technology • Является попыткой реконструировать основную политику SELinux и представляет собой законченную политику • Призван облегчить поддержку и применение базовых политик безопасности, а также использование широкого набора различных приложений • Может быть использован и как базовая политика, и как средство для создания собственных политик в системе

  13. Reference Policy Улучшения, реализованные в Reference Policy, условно можно разделить на две группы: • Улучшения в безопасности. • Улучшения функциональности. Три типа макросов: • интерфейса • шаблона • поддержки

  14. Reference Policy

  15. Заключение В данной работе мною были рассмотрены и протестированы три модуля для подсистемы безопасности SELinux: Loadable Policy Modules, Multi-Category Security и Reference Policy Учитывая, что над проектом SELinux ведется активная работа, вдальнейшем хотелось бы продолжить изучение данной темы и рассмотреть не только уже существующие модули после их доработки, но и те, которые появятся.

  16. Спасибо за внимание