SELinux 安全模型——TE

2024-01-02 00:52
文章标签 安全 模型 selinux te

本文主要是介绍SELinux 安全模型——TE,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

SELinux 安全模型——TE

首发公号:Rand_cs
通过前面的示例策略,大家对 SELinux 应该有那么点感觉认识了,从这篇开始的三篇文章讲述 SELinux 的三种安全模型,会涉及一些代码,旨在叙述 SELinux 内部的原理

SELinux 提供了 3 种安全模型:

RBAC:Role Based Access Control<基于角色的权限访问控制,它根据用户的角色和职责来管理对系统资源的访问权限。RBAC 将用户分配到不同的角色中,每个角色被赋予一组特定的权限,用户通过被分配到相应的角色来获得相应的权限,从而实现对系统资源的安全访问和管理。

TE:Type Enforcement,SELinux 最主要的安全模型,每一个主体客体都被分配一个类型,且使用白名单策略决定指定类型之间的访问权限。

MLS:Multi-Level Security,用于保护敏感和机密信息。这是 SELinux 对 BLP(Bell-La Padula Model) 模型的实现,编写策略可实现 “no read up, no write down”

本篇文章讲述 SELinux 最重要的安全模型:TE,Type Enforcement,针对类型的一种强制访问控制模式。

两种规则及其数据结构

它是 SELinux 的基石,百分之九十九的规则都是建立在 TE 之上的。TE 这种安全模型主要有两种规则,在之前示例策略种也说过,本文再来复习一遍:

  • Access Vector Rules,简单理解为 allow、neverallow、dontaudit 这些规则属于 AV 规则。其语法为 allow source target : class { perms },表示 source 对 class 类别的 target 的访问权限。
  • Type Rules,这类规则涉及类型转换,总共有 3 个,type_transition、type_change、type_member,后两个先不用管,重点知道 type_transion 就行。其语法规则为 allow a_t b_exec_t : process b_t,表示 a_t 这个类型的进程执行 b_exec_t 这个类型的可执行程序后,类型转换为 b_t。

虽然 TE 分为两大类规则,但是从形式上来讲,它们是统一的,都是 规则名 源类型 目标类型 目标类别 权限/转换后类型,可以看出,只有最后一部分是不一样的。但终归形式统一,所以在内存种这两大类规则对应的数据结构都是一样的。

我们可以将前面部分当作 key,最后的权限/转换后类型当作 value,如此,所有的 TE 规则实际上都以键值对存放在内存当中。

struct avtab_key {u16 source_type;    /* source type */u16 target_type;    /* target type */u16 target_class;   /* target object class */
#define AVTAB_ALLOWED       0x0001
#define AVTAB_AUDITALLOW    0x0002
#define AVTAB_AUDITDENY     0x0004
#define AVTAB_AV        (AVTAB_ALLOWED | AVTAB_AUDITALLOW | AVTAB_AUDITDENY)
#define AVTAB_TRANSITION    0x0010
#define AVTAB_MEMBER        0x0020
#define AVTAB_CHANGE        0x0040
#define AVTAB_TYPE      (AVTAB_TRANSITION | AVTAB_MEMBER | AVTAB_CHANGE)
/* extended permissions */
#define AVTAB_XPERMS_ALLOWED    0x0100
#define AVTAB_XPERMS_AUDITALLOW 0x0200
#define AVTAB_XPERMS_DONTAUDIT  0x0400
#define AVTAB_XPERMS        (AVTAB_XPERMS_ALLOWED | \AVTAB_XPERMS_AUDITALLOW | \AVTAB_XPERMS_DONTAUDIT)
#define AVTAB_ENABLED_OLD   0x80000000 /* reserved for used in cond_avtab */
#define AVTAB_ENABLED       0x8000 /* reserved for used in cond_avtab */u16 specified;  /* what field is specified */
};

上述为 key 值定义,可以看出 类型 type,类别 class 在内存中都是一个 16 位的无符号整数,可以看作它们的 ID 值,所以理论上来说最多只能定义 65535 个类型。

specified 指明当前是哪种具体的 TE 规则

struct avtab_datum {union {u32 data; /* access vector or type value */struct avtab_extended_perms *xperms;} u;
};

key 值对应的数据如上所示,只有一个元素 32 bit 无符号,扩展属性暂时不用了解,基本没人用

对于 AV 规则,data 为一组权限向量,比如说:

#define FILE__IOCTL                               0x00000001UL
#define FILE__READ                                0x00000002UL
#define FILE__WRITE                               0x00000004UL
#define FILE__CREATE                              0x00000008UL
#define FILE__GETATTR                             0x00000010UL
#define FILE__SETATTR                             0x00000020UL
#define FILE__LOCK                                0x00000040UL
.......

上述是 file 这个类别的权限位定义,在内核里面搜索会发现并没有上述定义,这些宏是内核编译的时候自动生成的,生成脚本对应着 linux/scripts/selinux/genheaders

上述可以看出,每个权限都是 32 bit 中的某一位, data 中某一比特位为 1 表示拥有该权限,为 0 表示没有该权限权限。举个例子,如果存在规则 allow a_t b_file_t : file read; 那么当查询 a_t 类型的进程 对 b_file_t 类型的文件有什么访问权限时,返回结果 data 值中对应 FILE__READ 那个比特位应该为 1

对于 Type 规则,也就是类型转换类的规则,data 表示转换后类型的 ID 值

AVC

TE 规则当中又数 AV 规则使用的最频繁,为了加快查找速度,内核设计了 AVC,Access Vector Cache。

struct avc_entry {u32         ssid;u32         tsid;u16         tclass;struct av_decision  avd;struct avc_xperms_node  *xp_node;
};struct avc_node {struct avc_entry    ae;struct hlist_node   list; /* anchored in avc_cache->slots[i] */struct rcu_head     rhead;
};struct avc_cache {struct hlist_head   slots[AVC_CACHE_SLOTS]; /* head for avc_node->list */spinlock_t      slots_lock[AVC_CACHE_SLOTS]; /* lock for writes */atomic_t        lru_hint;   /* LRU hint for reclaim scan */atomic_t        active_nodes;u32         latest_notif;   /* latest revocation notification */
};

整个 cache 就是一个哈希表,由 avc_node 组成,每个 avc_node 又由 key 值(ssid, tsid, tclass)和 value(avd) 组成。

这里的 key 值有三个,ssid、tsid、tclass,我们对哈希表增删查改需要的 hash 值也是由这三个值算出来。sid,全称 security id,对于 sid 后面会详细讲述,这里先简单说一说。之前有提到过,在 SELinux 中,每个主体和客体都有一个安全上下文(标签),由 4 部分组成(user:role:type:mls),内核中由 struct context 来表示,而 sid 则是与 context 对应的一个 id 值,context 和 sid 一一对应

value 值为 av_decision,其结构体表示如下:

struct av_decision {u32 allowed;      u32 auditallow;u32 auditdeny;u32 seqno;u32 flags;
};

AV 规则有 4 种语句,allow,auditallow,dontaudit,neverallow,前三个与上述的定义对应,最后一个 neverallow 语句是在编译期间起作用,所以内核没有相关定义

对于每一种 AV 规则,内核都定义了一组权限向量,但其实只有 allowed 对应的向量才表示权限授予与否,其他的都是指示当前访问是否应该被日志记录。

比如说对于 FILE__WRITE,如果在 allowed 中对应的比特位为 0,表示没有权限写;如果在 auditdeny 中对应的比特位为 1,即使在 allowed 中表示没有权限写,但是也不会记录在日志中。

上述就是对 AVC 涉及的数据结构进行介绍,其他一些函数大多是哈希表常见的增删改查函数,这里不做详细说明,可以自己阅读相关内核代码,比较简单。这里主要说明权限检查函数,avc_has_perm。

int avc_has_perm(u32 ssid, u32 tsid, u16 tclass,u32 requested, struct common_audit_data *auditdata)
{//将存放权限查询结果struct av_decision avd; int rc, rc2;//调用此函数来进行真正的权限查询,查询结果存放在 avd 中rc = avc_has_perm_noaudit(ssid, tsid, tclass, requested, 0,&avd);//日志记录相关rc2 = avc_audit(ssid, tsid, tclass, requested, &avd, rc,auditdata);if (rc2)return rc2;return rc;
}inline int avc_has_perm_noaudit(u32 ssid, u32 tsid,u16 tclass, u32 requested,unsigned int flags,struct av_decision *avd)
{u32 denied;struct avc_node *node;if (WARN_ON(!requested))return -EACCES;rcu_read_lock();// 根据键值在 avb 中查询 avd_nodenode = avc_lookup(ssid, tsid, tclass);// 如果 node 不存在,则会去查询 security server,然后分配 node,填充node,插入哈希表等操作if (unlikely(!node)) {rcu_read_unlock();return avc_perm_nonode(ssid, tsid, tclass, requested,flags, avd);}// ae.avd.allowed 记录着allowed权限向量,request 表示要查询权限对应的比特位// 一通位操作下来,denied 为 1 表示没有该权限,反之有该权限denied = requested & ~node->ae.avd.allowed;memcpy(avd, &node->ae.avd, sizeof(*avd));rcu_read_unlock();// 一般不太可能为 denied,这么想,如果一个系统的 denied 很多,多半策略有问题,而且系统也不能正常运行// 如果为 denied=1,则 SELinux 还有其他配置让它变为 allowed,比如说如果当前开启了 permissive 模式// 所以这里还需要调用 avc_denied 再次判断当前模式、策略下是否真的没有该权限if (unlikely(denied))return avc_denied(ssid, tsid, tclass, requested, 0, 0,flags, avd);// 返回 0 表示有权限return 0;
}

举个栗子

这一小节用两个例子说明内核里面到底是如何进行 SELinux 权限检查和类型转换的

假如我们正在执行某个 exec 调用,需要检查当前进程是否对该文件有执行权限。内核里面是如何做检查的呢?首先是 DAC 检查,也就是检查是该文件是否有 x 权限位。

当我们访问文件的时候,内核里面经常会调用 inode_permission(idmap, inode, mask) 检查权限。比如说这里想要检查是否有 exec 权限,便会调用inode_permission(idmap, nd->inode, MAY_EXEC);之后会存在如下的调用路径:

inode_permissionsecurity_inode_permissionselinux_inode_permission//将想要查询的权限用 SELinux 中的向量表示file_mask_to_av// 这里的mode就是inode中的mode元素,作用之一就是指示当前文件类型if (!S_ISDIR(mode)){    // mask 可以看作上层想要查询的权限,之后转换为SELinux中对应的权限if (mask & MAY_EXEC)av |= FILE__EXECUTE;} else {//如果访问的是目录,想要检查是否有 exec 权限,那么实际上是想要检查是否有搜索权限if (mask & MAY_EXEC)  av |= DIR__SEARCH;return av// 调用 avc_has_perm 来查询权限,查询结果存放在 &avd 结构中avc_has_perm_noaudit(sid, isec->sid, isec->sclass, perms, 0, &avd);

在 SELinux 中,对于目录和文件的执行权限有不同解释,对于普通文件,那就是真的检查是否可执行。但是对于目录文件来说检查是否能够执行其实指的是能否对该目录进行搜索。

其实在 DAC 中,对于目录和普通文件的 x 权限位解释也是不一样的,一个文件如果有 x,说明该文件可以被执行,如果一个目录有 x,指的是可以进入这个目录, 通俗来讲可以 cd 进去,就需要该目录有 x 权限。

我们上层的种种操作,其背后都需要各种权限,在 SELinux 安全检查的时候都会进行 SELinux 权限检查。

对于类型转换的流程,例子先不说了,这玩意儿还有点点复杂,后面单独来一篇文章说明,好了本文就先到这里,有什么问题欢迎来交流讨论
首发公号:Rand_cs

这篇关于SELinux 安全模型——TE的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/560945

相关文章

Java的IO模型、Netty原理解析

《Java的IO模型、Netty原理解析》Java的I/O是以流的方式进行数据输入输出的,Java的类库涉及很多领域的IO内容:标准的输入输出,文件的操作、网络上的数据传输流、字符串流、对象流等,这篇... 目录1.什么是IO2.同步与异步、阻塞与非阻塞3.三种IO模型BIO(blocking I/O)NI

基于Flask框架添加多个AI模型的API并进行交互

《基于Flask框架添加多个AI模型的API并进行交互》:本文主要介绍如何基于Flask框架开发AI模型API管理系统,允许用户添加、删除不同AI模型的API密钥,感兴趣的可以了解下... 目录1. 概述2. 后端代码说明2.1 依赖库导入2.2 应用初始化2.3 API 存储字典2.4 路由函数2.5 应

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)

《C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)》本文主要介绍了C#集成DeepSeek模型实现AI私有化的方法,包括搭建基础环境,如安装Ollama和下载DeepS... 目录前言搭建基础环境1、安装 Ollama2、下载 DeepSeek R1 模型客户端 ChatBo

SpringBoot快速接入OpenAI大模型的方法(JDK8)

《SpringBoot快速接入OpenAI大模型的方法(JDK8)》本文介绍了如何使用AI4J快速接入OpenAI大模型,并展示了如何实现流式与非流式的输出,以及对函数调用的使用,AI4J支持JDK8... 目录使用AI4J快速接入OpenAI大模型介绍AI4J-github快速使用创建SpringBoot

0基础租个硬件玩deepseek,蓝耘元生代智算云|本地部署DeepSeek R1模型的操作流程

《0基础租个硬件玩deepseek,蓝耘元生代智算云|本地部署DeepSeekR1模型的操作流程》DeepSeekR1模型凭借其强大的自然语言处理能力,在未来具有广阔的应用前景,有望在多个领域发... 目录0基础租个硬件玩deepseek,蓝耘元生代智算云|本地部署DeepSeek R1模型,3步搞定一个应

Deepseek R1模型本地化部署+API接口调用详细教程(释放AI生产力)

《DeepseekR1模型本地化部署+API接口调用详细教程(释放AI生产力)》本文介绍了本地部署DeepSeekR1模型和通过API调用将其集成到VSCode中的过程,作者详细步骤展示了如何下载和... 目录前言一、deepseek R1模型与chatGPT o1系列模型对比二、本地部署步骤1.安装oll

Spring AI Alibaba接入大模型时的依赖问题小结

《SpringAIAlibaba接入大模型时的依赖问题小结》文章介绍了如何在pom.xml文件中配置SpringAIAlibaba依赖,并提供了一个示例pom.xml文件,同时,建议将Maven仓... 目录(一)pom.XML文件:(二)application.yml配置文件(一)pom.xml文件:首

如何在本地部署 DeepSeek Janus Pro 文生图大模型

《如何在本地部署DeepSeekJanusPro文生图大模型》DeepSeekJanusPro模型在本地成功部署,支持图片理解和文生图功能,通过Gradio界面进行交互,展示了其强大的多模态处... 目录什么是 Janus Pro1. 安装 conda2. 创建 python 虚拟环境3. 克隆 janus

本地私有化部署DeepSeek模型的详细教程

《本地私有化部署DeepSeek模型的详细教程》DeepSeek模型是一种强大的语言模型,本地私有化部署可以让用户在自己的环境中安全、高效地使用该模型,避免数据传输到外部带来的安全风险,同时也能根据自... 目录一、引言二、环境准备(一)硬件要求(二)软件要求(三)创建虚拟环境三、安装依赖库四、获取 Dee