-
目前,Linux操作系统已广泛应用于各种设备和产品中,如服务器、PC机、机顶盒及路由器等。随着Linux系统的不断发展和广泛应用,Linux系统的安全问题也引起越来越多的关注。在Linux操作系统中,存在一个超级用户即root用户。root也称为系统管理员,它拥有管理系统的一切权限。当一个非法用户获得root用户口令后,他就可以以超级用户的身份登录系统,然后做任何他想做的事情:如任意添加、删除用户,终止进程,删除重要文件甚至更改root用户的口令。因此,一旦root权限被恶意用户利用,就可能导致系统数据的泄密和破坏。
该问题已经引起了国家的重点关注,如国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》中明确提出:涉密信息系统应配备系统管理员、安全保密管理员和安全审计员这三类安全保密管理人员,三员应该相互独立、相互制约、不得兼任。三个管理员之间的工作机制分为协作和制约两种机制,行使的是原超级用户的权力,即系统管理员、安全管理员和审计管理员间相互协作,共同维护系统的正常运行。制约机制指只有在当前管理员操作不影响其他管理员正在进行的操作时才被允许,从而保证了管理员行为的可预期性,避免超级用户的误操作或其身份被假冒而带来的安全隐患,增强了系统的安全性。该规范可以有效防止由系统管理员权力过大所带来的系统安全威胁和隐患[1]。
SELinux (security-enhanced Linux)[2]是安全增强的Linux,以强制访问控制(mandatory access control, MAC)[3]技术为基础,应用类型增强(type enforcement, TE)和基于角色访问控制(role-base access control, RBAC)两种安全策略模型。通过MAC技术可以实现对用户和进程权限的最小化,即使在系统受到攻击或者进程和用户的权限被剥夺的情况下,也不会对整个系统的安全造成重大影响。SELinux对访问的控制更彻底,它对系统中的所有文件、目录、端口资源的访问控制都基于一定的安全策略而设定。只有管理员才能定制安全策略,一般用户没有权限更改。因此SELinux为三权分离思想的实现奠定了基础。
目前,SELinux的相关研究工作主要集中在安全策略分析和配置及SELinux安全模型研究[4-5]方面。文献[6]提出了高安全等级信息系统中的权限分离模型(privilege separation model, PSM)。将原有管理员分解为3个不同角色,形式化定义了权限的支撑关系和制约关系,给出了模型中的三权分立的权限制约算法、安全定理及安全性质。文献[7]提出了一种满足高安全级信息系统最小特权需求的强制访问控制模型。然而,二者都没给出具体的实施方案。
本文基于SELinux建立了三权分离安全模型,设计了三权分离安全策略,并实现了三权分离机制,最后通过实验验证了可行性和正确性。
Research on the Separation of Privilege Based on SELinux
-
摘要: 随着Linux操作系统的广泛使用,由于root权限过大所暴露出来的安全问题逐步被引起关注。针对Linux操作系统的特权管理问题,首先建立了三权分离安全模型,将Linux系统中的特权用户分解为系统管理员、安全管理员、审计管理员3个不同的管理员角色。然后,基于SELinux的强制访问控制技术设计并实现了三权分离机制和安全策略,对每个管理员的权限进行细粒度划分和严格的访问控制。最后,基于嵌入式平台实现了一个实验原型系统,验证了三权分离方法的正确性和可行性。该方法可广泛应用于Linux操作系统,以提高系统的安全性。Abstract: With the widespread use of Linux operating systems, security problems is gradually exposed and become a hot topic because of excessive root privileges. To solve this problem and enhance security of Linux operating system, firstly, we model the separation of privilege, which divides the privilege of Linux system into three roles, system administrator, security administrator, and auditor. Then, this paper designs and implements the separation of privilege mechanism based on the SELinux's mandatory access control technology, which can define fine-grained permissions and security policy for each role and control user's access strictly. Finally, we implement a prototype system based on the embedded platform, which verifies the correctness and feasibility of our approaches presented in this paper. These approaches presented in this paper can be used in Linux operating system to enhance system security.
-
[1] 耿伟, 吴肖炎.涉密信息系统安全保密管理人员的职责要求与权限划分[J].学术研究, 2009(7):114-121. http://mall.cnki.net/magazine/article/TXBM200907049.htm GENG Wei, WU Xiao-yan. Responsibilities and divisions of authority for security-and-privacy management personnel of secret-involved[J]. Academic Research, 2009(7):114-121. http://mall.cnki.net/magazine/article/TXBM200907049.htm [2] National Security Agency. Security-enhanced Linux (SELinux)[EB/OL].[2015-3-20]. http://www.nsa.gov/research/selinux/. [3] BRIFFAUT J, LALANDE J F, TOINARD C. Formalization of security properties:Enforcement for MAC operating systems and verification of dynamic MAC policies[J]. International Journal on Advances in Security, 2010, 2(4):325-343. http://cn.bing.com/academic/profile?id=2244988808&encoded=0&v=paper_preview&mkt=zh-cn [4] 肖永康, 纪翠玲, 谢宝恂, 等. SELinux的安全机制和安全模型[J].计算机应用, 2009(29):66-68. http://www.cnki.com.cn/Article/CJFDTOTAL-JSJY2009S1022.htm XIAO Yong-kan, JI Cui-ling, XIE Bao-xun, et al. Security mechanism and security model of SELinux[J]. Journal of Computer Applications. 2009(29):66-68. http://www.cnki.com.cn/Article/CJFDTOTAL-JSJY2009S1022.htm [5] 崔宾阁, 刘大昕.强制访问控制在基于角色的保护系统中的实现[J].计算机工程, 2006(6):167-169. http://www.cnki.com.cn/Article/CJFDTOTAL-JSJC200606056.htm CUI Bin-ge, LIU Da-xin. Realization of mandatory access control in role-based protection systems[J]. Computer Engineering, 2006(6):167-169. http://www.cnki.com.cn/Article/CJFDTOTAL-JSJC200606056.htm [6] 李瑜, 马朝斌.高安全等级信息系统中的权限分离模型[J].山东大学学报(理学版), 2012(11):18-23. http://www.cnki.com.cn/Article/CJFDTOTAL-SDDX201211005.htm LI Yu, MA Chao-bin. Research on the privilege separation model of high level information systems[J]. Journal of Shandong University (Natural Science), 2012(11):18-23. http://www.cnki.com.cn/Article/CJFDTOTAL-SDDX201211005.htm [7] 杨涛, 沈昌祥, 陈福接.一个用于安全操作系统特权管理的改进Bell-La Padula模型[J].计算机研究与发展, 1993, 30(1):45-49. http://mall.cnki.net/magazine/Article/JFYZ199301006.htm YANG Tao, SHEN Chang-xiang, CHEN Fu-jie. An improved bell-lapadula model for the privilege management of operating systems[J]. Journal of Computer Research and Development, 1993, 30(1):45-49. http://mall.cnki.net/magazine/Article/JFYZ199301006.htm [8] AHN G J, XU W, ZHANG X. Systematic policy analysis for high-assurance services in SELinux[C]//IEEE Workshop on Policies for Distributed Systems and Networks.[S.l.]:IEEE, 2008:3-10. [9] MAROUF S, PHUONG D M, SHEHAB M. A learning-based approach for SELinux policy optimization with type mining[C]//Cyber Security and Information Intelligence Research.[S.l.]:ACM, 2010:1-4. [10] 倪继利. Linux安全体系分析与编程[M].北京:电子工业出版社, 2007. NI Ji-li. Linux security system analysis and programming[M]. Beijing:Publishing House of Electronics Industry, 2007. [11] AMTHOR P, KUHNHAUSER W E, POLCK A. Model-based safety analysis of SELinux security policies[C]//20115th International Conference Networking and System Security (NSS).[S.l.]:IEEE, 2011:208-215. [12] 陈亚莎, 赵勇, 刘燕, 等.高安全级信息系统中的特权控制机制及其模型研究[J].山东大学学报(理学版), 2011(9):57-60. http://www.cnki.com.cn/Article/CJFDTOTAL-SDDX201109014.htm CHEN Ya-sha, ZHAO Yong, LIU Yan, et al. Research on the privilege control mechanism and modeling of a high level information system[J]. Journal of Shandong University:Natural Science, 2011(9):57-60. http://www.cnki.com.cn/Article/CJFDTOTAL-SDDX201109014.htm