用sql2000做网站,建设银行手机银行网站用户名,怎么打开网站,自适应网站一般做多大尺寸SELinux 安全模型——TE 首发公号#xff1a;Rand_cs 通过前面的示例策略#xff0c;大家对 SELinux 应该有那么点感觉认识了#xff0c;从这篇开始的三篇文章讲述 SELinux 的三种安全模型#xff0c;会涉及一些代码#xff0c;旨在叙述 SELinux 内部的原理 SELinux 提供…SELinux 安全模型——TE 首发公号Rand_cs 通过前面的示例策略大家对 SELinux 应该有那么点感觉认识了从这篇开始的三篇文章讲述 SELinux 的三种安全模型会涉及一些代码旨在叙述 SELinux 内部的原理 SELinux 提供了 3 种安全模型 RBACRole Based Access Control基于角色的权限访问控制它根据用户的角色和职责来管理对系统资源的访问权限。RBAC 将用户分配到不同的角色中每个角色被赋予一组特定的权限用户通过被分配到相应的角色来获得相应的权限从而实现对系统资源的安全访问和管理。 TEType EnforcementSELinux 最主要的安全模型每一个主体客体都被分配一个类型且使用白名单策略决定指定类型之间的访问权限。 MLSMulti-Level Security用于保护敏感和机密信息。这是 SELinux 对 BLP(Bell-La Padula Model) 模型的实现编写策略可实现 “no read up, no write down” 本篇文章讲述 SELinux 最重要的安全模型TEType Enforcement针对类型的一种强制访问控制模式。 两种规则及其数据结构 它是 SELinux 的基石百分之九十九的规则都是建立在 TE 之上的。TE 这种安全模型主要有两种规则在之前示例策略种也说过本文再来复习一遍 Access Vector Rules简单理解为 allow、neverallow、dontaudit 这些规则属于 AV 规则。其语法为 allow source target : class { perms }表示 source 对 class 类别的 target 的访问权限。Type Rules这类规则涉及类型转换总共有 3 个type_transition、type_change、type_member后两个先不用管重点知道 type_transion 就行。其语法规则为 allow a_t b_exec_t : process b_t表示 a_t 这个类型的进程执行 b_exec_t 这个类型的可执行程序后类型转换为 b_t。 虽然 TE 分为两大类规则但是从形式上来讲它们是统一的都是 规则名 源类型 目标类型 目标类别 权限/转换后类型可以看出只有最后一部分是不一样的。但终归形式统一所以在内存种这两大类规则对应的数据结构都是一样的。 我们可以将前面部分当作 key最后的权限/转换后类型当作 value如此所有的 TE 规则实际上都以键值对存放在内存当中。 struct avtab_key {u16 source_type; /* source type */u16 target_type; /* target type */u16 target_class; /* target object class */ #define AVTAB_ALLOWED 0x0001 #define AVTAB_AUDITALLOW 0x0002 #define AVTAB_AUDITDENY 0x0004 #define AVTAB_AV (AVTAB_ALLOWED | AVTAB_AUDITALLOW | AVTAB_AUDITDENY) #define AVTAB_TRANSITION 0x0010 #define AVTAB_MEMBER 0x0020 #define AVTAB_CHANGE 0x0040 #define AVTAB_TYPE (AVTAB_TRANSITION | AVTAB_MEMBER | AVTAB_CHANGE) /* extended permissions */ #define AVTAB_XPERMS_ALLOWED 0x0100 #define AVTAB_XPERMS_AUDITALLOW 0x0200 #define AVTAB_XPERMS_DONTAUDIT 0x0400 #define AVTAB_XPERMS (AVTAB_XPERMS_ALLOWED | \AVTAB_XPERMS_AUDITALLOW | \AVTAB_XPERMS_DONTAUDIT) #define AVTAB_ENABLED_OLD 0x80000000 /* reserved for used in cond_avtab */ #define AVTAB_ENABLED 0x8000 /* reserved for used in cond_avtab */u16 specified; /* what field is specified */ };上述为 key 值定义可以看出 类型 type类别 class 在内存中都是一个 16 位的无符号整数可以看作它们的 ID 值所以理论上来说最多只能定义 65535 个类型。 specified 指明当前是哪种具体的 TE 规则 struct avtab_datum {union {u32 data; /* access vector or type value */struct avtab_extended_perms *xperms;} u; };key 值对应的数据如上所示只有一个元素 32 bit 无符号扩展属性暂时不用了解基本没人用 对于 AV 规则data 为一组权限向量比如说 #define FILE__IOCTL 0x00000001UL #define FILE__READ 0x00000002UL #define FILE__WRITE 0x00000004UL #define FILE__CREATE 0x00000008UL #define FILE__GETATTR 0x00000010UL #define FILE__SETATTR 0x00000020UL #define FILE__LOCK 0x00000040UL .......上述是 file 这个类别的权限位定义在内核里面搜索会发现并没有上述定义这些宏是内核编译的时候自动生成的生成脚本对应着 linux/scripts/selinux/genheaders。 上述可以看出每个权限都是 32 bit 中的某一位 data 中某一比特位为 1 表示拥有该权限为 0 表示没有该权限权限。举个例子如果存在规则 allow a_t b_file_t : file read; 那么当查询 a_t 类型的进程 对 b_file_t 类型的文件有什么访问权限时返回结果 data 值中对应 FILE__READ 那个比特位应该为 1 对于 Type 规则也就是类型转换类的规则data 表示转换后类型的 ID 值。 AVC TE 规则当中又数 AV 规则使用的最频繁为了加快查找速度内核设计了 AVCAccess Vector Cache。 struct avc_entry {u32 ssid;u32 tsid;u16 tclass;struct av_decision avd;struct avc_xperms_node *xp_node; };struct avc_node {struct avc_entry ae;struct hlist_node list; /* anchored in avc_cache-slots[i] */struct rcu_head rhead; };struct avc_cache {struct hlist_head slots[AVC_CACHE_SLOTS]; /* head for avc_node-list */spinlock_t slots_lock[AVC_CACHE_SLOTS]; /* lock for writes */atomic_t lru_hint; /* LRU hint for reclaim scan */atomic_t active_nodes;u32 latest_notif; /* latest revocation notification */ };整个 cache 就是一个哈希表由 avc_node 组成每个 avc_node 又由 key 值(ssid, tsid, tclass)和 value(avd) 组成。 这里的 key 值有三个ssid、tsid、tclass我们对哈希表增删查改需要的 hash 值也是由这三个值算出来。sid全称 security id对于 sid 后面会详细讲述这里先简单说一说。之前有提到过在 SELinux 中每个主体和客体都有一个安全上下文(标签)由 4 部分组成user:role:type:mls)内核中由 struct context 来表示而 sid 则是与 context 对应的一个 id 值context 和 sid 一一对应 value 值为 av_decision其结构体表示如下 struct av_decision {u32 allowed; u32 auditallow;u32 auditdeny;u32 seqno;u32 flags; };AV 规则有 4 种语句allowauditallowdontauditneverallow前三个与上述的定义对应最后一个 neverallow 语句是在编译期间起作用所以内核没有相关定义 对于每一种 AV 规则内核都定义了一组权限向量但其实只有 allowed 对应的向量才表示权限授予与否其他的都是指示当前访问是否应该被日志记录。 比如说对于 FILE__WRITE如果在 allowed 中对应的比特位为 0表示没有权限写如果在 auditdeny 中对应的比特位为 1即使在 allowed 中表示没有权限写但是也不会记录在日志中。 上述就是对 AVC 涉及的数据结构进行介绍其他一些函数大多是哈希表常见的增删改查函数这里不做详细说明可以自己阅读相关内核代码比较简单。这里主要说明权限检查函数avc_has_perm。 int avc_has_perm(u32 ssid, u32 tsid, u16 tclass,u32 requested, struct common_audit_data *auditdata) {//将存放权限查询结果struct av_decision avd; int rc, rc2;//调用此函数来进行真正的权限查询查询结果存放在 avd 中rc avc_has_perm_noaudit(ssid, tsid, tclass, requested, 0,avd);//日志记录相关rc2 avc_audit(ssid, tsid, tclass, requested, avd, rc,auditdata);if (rc2)return rc2;return rc; }inline int avc_has_perm_noaudit(u32 ssid, u32 tsid,u16 tclass, u32 requested,unsigned int flags,struct av_decision *avd) {u32 denied;struct avc_node *node;if (WARN_ON(!requested))return -EACCES;rcu_read_lock();// 根据键值在 avb 中查询 avd_nodenode avc_lookup(ssid, tsid, tclass);// 如果 node 不存在则会去查询 security server然后分配 node填充node插入哈希表等操作if (unlikely(!node)) {rcu_read_unlock();return avc_perm_nonode(ssid, tsid, tclass, requested,flags, avd);}// ae.avd.allowed 记录着allowed权限向量request 表示要查询权限对应的比特位// 一通位操作下来denied 为 1 表示没有该权限反之有该权限denied requested ~node-ae.avd.allowed;memcpy(avd, node-ae.avd, sizeof(*avd));rcu_read_unlock();// 一般不太可能为 denied这么想如果一个系统的 denied 很多多半策略有问题而且系统也不能正常运行// 如果为 denied1则 SELinux 还有其他配置让它变为 allowed比如说如果当前开启了 permissive 模式// 所以这里还需要调用 avc_denied 再次判断当前模式、策略下是否真的没有该权限if (unlikely(denied))return avc_denied(ssid, tsid, tclass, requested, 0, 0,flags, avd);// 返回 0 表示有权限return 0; }举个栗子 这一小节用两个例子说明内核里面到底是如何进行 SELinux 权限检查和类型转换的 假如我们正在执行某个 exec 调用需要检查当前进程是否对该文件有执行权限。内核里面是如何做检查的呢首先是 DAC 检查也就是检查是该文件是否有 x 权限位。 当我们访问文件的时候内核里面经常会调用 inode_permission(idmap, inode, mask) 检查权限。比如说这里想要检查是否有 exec 权限便会调用inode_permission(idmap, nd-inode, MAY_EXEC);之后会存在如下的调用路径 inode_permissionsecurity_inode_permissionselinux_inode_permission//将想要查询的权限用 SELinux 中的向量表示file_mask_to_av// 这里的mode就是inode中的mode元素作用之一就是指示当前文件类型if (!S_ISDIR(mode)){ // mask 可以看作上层想要查询的权限之后转换为SELinux中对应的权限if (mask MAY_EXEC)av | FILE__EXECUTE;} else {//如果访问的是目录想要检查是否有 exec 权限那么实际上是想要检查是否有搜索权限if (mask MAY_EXEC) av | DIR__SEARCH;return av// 调用 avc_has_perm 来查询权限查询结果存放在 avd 结构中avc_has_perm_noaudit(sid, isec-sid, isec-sclass, perms, 0, avd);在 SELinux 中对于目录和文件的执行权限有不同解释对于普通文件那就是真的检查是否可执行。但是对于目录文件来说检查是否能够执行其实指的是能否对该目录进行搜索。 其实在 DAC 中对于目录和普通文件的 x 权限位解释也是不一样的一个文件如果有 x说明该文件可以被执行如果一个目录有 x指的是可以进入这个目录 通俗来讲可以 cd 进去就需要该目录有 x 权限。 我们上层的种种操作其背后都需要各种权限在 SELinux 安全检查的时候都会进行 SELinux 权限检查。 对于类型转换的流程例子先不说了这玩意儿还有点点复杂后面单独来一篇文章说明好了本文就先到这里有什么问题欢迎来交流讨论 首发公号Rand_cs