1.强制类型的安全上下文
在SELinux中,訪问控制属性叫做安全上上下文。不管主体还是客体都有与之关联的安全上下文。通常安全上下文是由三部分组成:用户:角色:类型。
如:
$id -Z
joe:user_r:user_t
在SELinux其中,訪问控制属性全部的客体或主体都有一个关联上的上下文属性。由于在SELinux基于类型强制策略,因此在安全上下文中的类型标识符决定了訪问权。
注!SELinux是基于标注Linux的,也就意味着主体要訪问课题时,要同一时候满足传统Linux的权限控制UGO模型和SELinux类型增强策略。
在安全上下文中。一个进程(主体)的类型通常被称为一个域(domain),那么“域”、“域类型”、“主体类型”和进程类型都是一个意思。
相对于客体,用户和角色标识符非常少使用。为了方便管理。客体的角色通常被定义为object_r。
2.类型强制訪问控制
在SELinux其中。全部訪问都必须明白授权。SELinx默认不同意不论什么訪问,全然不考虑当前UGO结构,即不考虑用户/组ID是什么。
这也就意味着,在这里没有超级用户了。
那么假设主体须要对客体进行訪问该怎样进行呢?
在SELinux其中。一般是使用allow规则来指定主体类型(即域)对客体类型授予訪问权限,也就是allow规则规定了哪些类型的进程能够訪问哪些客体。
allow规则由四部分组成:
- 原类型(Source type(s)) 主体类型,即域
- 目标类型(Target type(s)) 客体类型
- 客体类别(Object class(es))客体的类别,如文件、文件夹等
- 许可(Permission(s)) 主体能够对客体运行哪些操作,我们称之为訪问向量
如图:
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">
图1
TE allow规则的基础语法演示样例。如:
allow user_t bin_t : file {read execute getattr};//域为user_t的进程能够对客体类型为bin_t的文件具有读权限、可运行权限和能够获得该文件的属性的权限。而获得文件的属性getattr我们能够理解为查看文件的创建日期、更新时间等属性,以及DAC訪问模式(rwx)。
3.类型强制策略演示样例
为了进一步研究类型强制策略。我们以管理password的程序(passwd)为例来深入了解。在Linux中,passwd程序是可信任的,改动存储经过加密的password的影子password文件(/etc/shadow),passwd 程序运行它自己内部的安全策略。同意普通用户改动属于他们自己的password。同一时候允许 root 改动全部password。因此,passwd
程序须要有移动和又一次创建shadow 文件的能力,在标准 Linux 中。它当然有这种权利。由于 passwd 程序可运行文件在运行时被加上了 setuid 位,它作为 root 用户(它能訪问全部文件)同意(我们知道,在系统中我们要改动一个用户的password,root用户和普通用户均能够用/usr/bin/passwd someuser这个命令来改动这个/etc/passwd这个文件。root用户本身拥有对/etc/passwd的写权限,无可厚非;那普通用户呢,这里就用到了setuid,setuid的作用是“让运行该命令的用户以该命令拥有者的权限去运行”,就是普通用户运行passwd时会拥有root的权限,这样就能够改动/etc/passwd这个文件了。)。
程序须要有移动和又一次创建shadow 文件的能力,在标准 Linux 中。它当然有这种权利。由于 passwd 程序可运行文件在运行时被加上了 setuid 位,它作为 root 用户(它能訪问全部文件)同意(我们知道,在系统中我们要改动一个用户的password,root用户和普通用户均能够用/usr/bin/passwd someuser这个命令来改动这个/etc/passwd这个文件。root用户本身拥有对/etc/passwd的写权限,无可厚非;那普通用户呢,这里就用到了setuid,setuid的作用是“让运行该命令的用户以该命令拥有者的权限去运行”,就是普通用户运行passwd时会拥有root的权限,这样就能够改动/etc/passwd这个文件了。)。
这就意味着不论什么程序(当以
root 身份执行时) 都有可能可以改动 shadow 文件。
类型强制使我们能做的事情是确保仅仅有 passwd 程序 (或类似的受信任的程序) 可以訪问 shadow 文件, 无论执行程序的用户是谁。
下图为我们描写叙述了SELinux系统中passwd程序使用类型强制策略的流程:
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">
图2
上图中定义了passwd的域类型-passwd_t,和shadowpassword文件的类型-shadow_t。那么上图中的allow规则的含义为授权域类型为passwd_t的passwd进程的訪问文件类型为shadow_t的文件shadow,而且具有移动和创建新的shadowpassword文件。
相应的shadow的安全上下文例如以下:
那么此时。在当前策略下检查执行password和程序的进程的安全上下文例如以下:
4.域转换
我们所做的从表面上看起来,不过主体提供对客体訪问的许可编写一个TE策略。由于我们不得不考虑以下这个问题,比如在Linux系统中。用户joe登录系统,而且创建了一个shell进程(如bash)。而shell进程的类型是user_t。它表示一个普通的、不受信任的用户进程域类型。
那么此时Joe用户怎样让shell进程改动password呢?首先我们来看下图:
图3
当Joe的shell程序执行其它程序时。新进程则会继承user_t的域类型,而user_t又是一个不受信任的域,那么首先我们不应域类型为user_t的进程直接操作shadowpassword文件,由于这样会同意其它程序也能够读写这个很重要的文件。
那么此时我们该怎样实现呢?也就是说怎样实现将一个域为user_t的shell进程转变为域为passwd_t进程。