1、系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第1/24页本讲内容 主题:强制访问控制模型TE 教材内容: 第5.1节:TE模型与DTE模型 第5.2节:SELinux实现的TE模型系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第2/24页TE与DTE模型的发展背景 1985 W.E. Boebert和R.Y. Kain提出TE模型( Type Enforcement)。 为Secure Ada Target系统之所需。 Secure Ada Target更名为LOCK(Logica
2、l Coprocessing Kernel)。 1991 R. OBrien和C. Rogers为LOCK系统拓展TE模型。 1994 L. Badger和D.F. Sterne将TE改进为DTE。 1995 L. Badger等在UNIX中实现DTE。 21世纪 实施到Linux中,并产生广泛影响。系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第3/24页TE模型的基本思想域定义表 - DDT类型 客体域 主体系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第4/24页域相互作用表
3、- DIT DIT - Domain Interaction Table 行 & 列 域 行与列交叉点的元素:行域对列域的访问权限: 发信号、创建进程、杀死进程 例: 进程Px - 域Di,进程Py - 域Dj 进程Px可否向进程Py发信号? Aij - 发信号?系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第5/24页用TE模型实现应用隔离Web域: web_p_dMail域: mail_p_dFTP域: ftp_p_dWeb类型: web_f_tMail类型: mail_f_tFTP类型: ftp_f_t系统与信息安全研究实验室REN
4、MIN UNIVERSITY OF CHINA 2009 电子工业出版社第6/24页TE模型存在的问题 访问控制权限配置复杂 应用较多、进程较多、文件数较大时 二维表结构无法反映系统的内在结构 目录与子目录、父进程与子进程? 控制策略的定义需要从零开始 访问控制框架 访问控制规则 ?系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第7/24页DTE模型的思想与特点 策略描述语言 - DTEL - DTE Language 类型描述 类型赋值 域描述 初始域设定 文件安全属性的隐含方式表示 客体的内在层次结构 递归赋值:如果没有显式的给文件系
5、统中的一个客体赋类型值,那么,该客体的类型值与其父目录的类型值相同。 系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第8/24页类型描述与赋值 例:类型的描述 例:类型的赋值递归赋值 禁止运行时创建与父目录类型不同的客体系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第9/24页域的入口点 域的入口点:可执行程序;执行域A的入口点程序可以使执行者进入到域A中。 域B 域A 入口点程序Pb拥有exec/auto权限主体S执行exec:需执行域切换操作;auto:无需执行域切换操作。系统与
6、信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第10/24页域描述 例:域描述 访问权限: r - 读 w - 写 x - 执行 d - 搜索(目录)系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第11/24页初始域设定 例:系统域描述和初始域设定 在进程派生过程中,子进程继承父进程的工作域: 子进程在父进程所在的域中运行。系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第12/24页SELinux实现的TE模型 SELinux - S
7、ecurity Enhanced Linux NSA -开放源代码 访问控制模型的核心 - DTE模型 - TE模型 SETE - SELinux Type Enforcement 安全策略配置语言 SEPL - SELinux Policy Language DTEL系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第13/24页SETE模型的特点 类型的细分 增加客体类别概念 普通文件、目录、进程、套接字、文件系统 权限的细化 file类别:read、write、execute、getattr、create dir类别:read、writ
8、e、search、rmdir process类别:signal、transition、fork、getattr socket类别:bind、listen、connect、accept filesystem类别:mount、unmount 域 & 类型 类型 域:域类型、主体类型系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第14/24页SETE模型的访问授权规则 allow规则 例:系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第15/24页修改口令方法的危险及其消除已知Linux中
9、/etc/shadow文件和passwd程序的部分权限信息如下所示,请说明passwd程序为普通用户修改口令的方法及其不足,如何利用SETE模型的访问控制克服该不足?系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第16/24页口令修改过程中的域问题设用户BOB登录进入SELinux系统后欲修改其口令,试分析与该过程有关的进程可能涉及到的域的情况,以及可能遇到的访问权限问题。系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第17/24页口令修改过程中的进程有效身份设用户BOB登录进入Li
10、nux系统后欲修改其口令,试分析该过程通过改变进程的有效身份以获得访问shadow口令文件的权限的方法。系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第18/24页口令修改过程中的域切换(问)设用户BOB登录进入SELinux系统后欲修改其口令,已知shadow口令文件是shadow_t类型的文件,passwd_d域拥有修改shadow_t类型的口令文件所需要的访问权限,试给出一个确定进程工作域的方案,使得负责口令修改的passwd进程有权修改shadow文件中的口令信息。系统与信息安全研究实验室RENMIN UNIVERSITY OF
11、CHINA 2009 电子工业出版社第19/24页口令修改过程中的域切换(答)系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第20/24页SETE模型切换工作域的条件同时具备以下三个条件: 进程的新的工作域必须拥有对可执行文件的类型的entrypoint访问权限; 进程的旧的工作域必须拥有对入口点程序的类型的execute访问权限; 进程的旧的工作域必须拥有对进程的新的工作域的transition访问权限。allow user_d passwd_exec_t: filegetattr executeallow passwd_d passw
12、d_exec_t: file entrypointallow user_d passwd_d: process transition系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第21/24页进程工作域的自动切换 切换规则:type_transition source_type target_type : process default_type;系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第22/24页进程工作域的自动切换 切换规则:type_transition source_type target_type : process default_type; 例: type_transition user_d passwd_exec_t : process passwd_d;在此域运行的进程执行此类型的入口点程序自动切换到该域系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第23/24页
