SELinux 安全模型——TE

2024-01-02 00:52
文章标签 安全 模型 selinux te

本文主要是介绍SELinux 安全模型——TE,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

SELinux 安全模型——TE

首发公号:Rand_cs
通过前面的示例策略,大家对 SELinux 应该有那么点感觉认识了,从这篇开始的三篇文章讲述 SELinux 的三种安全模型,会涉及一些代码,旨在叙述 SELinux 内部的原理

SELinux 提供了 3 种安全模型:

RBAC:Role Based Access Control<基于角色的权限访问控制,它根据用户的角色和职责来管理对系统资源的访问权限。RBAC 将用户分配到不同的角色中,每个角色被赋予一组特定的权限,用户通过被分配到相应的角色来获得相应的权限,从而实现对系统资源的安全访问和管理。

TE:Type Enforcement,SELinux 最主要的安全模型,每一个主体客体都被分配一个类型,且使用白名单策略决定指定类型之间的访问权限。

MLS:Multi-Level Security,用于保护敏感和机密信息。这是 SELinux 对 BLP(Bell-La Padula Model) 模型的实现,编写策略可实现 “no read up, no write down”

本篇文章讲述 SELinux 最重要的安全模型:TE,Type Enforcement,针对类型的一种强制访问控制模式。

两种规则及其数据结构

它是 SELinux 的基石,百分之九十九的规则都是建立在 TE 之上的。TE 这种安全模型主要有两种规则,在之前示例策略种也说过,本文再来复习一遍:

  • Access Vector Rules,简单理解为 allow、neverallow、dontaudit 这些规则属于 AV 规则。其语法为 allow source target : class { perms },表示 source 对 class 类别的 target 的访问权限。
  • Type Rules,这类规则涉及类型转换,总共有 3 个,type_transition、type_change、type_member,后两个先不用管,重点知道 type_transion 就行。其语法规则为 allow a_t b_exec_t : process b_t,表示 a_t 这个类型的进程执行 b_exec_t 这个类型的可执行程序后,类型转换为 b_t。

虽然 TE 分为两大类规则,但是从形式上来讲,它们是统一的,都是 规则名 源类型 目标类型 目标类别 权限/转换后类型,可以看出,只有最后一部分是不一样的。但终归形式统一,所以在内存种这两大类规则对应的数据结构都是一样的。

我们可以将前面部分当作 key,最后的权限/转换后类型当作 value,如此,所有的 TE 规则实际上都以键值对存放在内存当中。

struct avtab_key {u16 source_type;    /* source type */u16 target_type;    /* target type */u16 target_class;   /* target object class */
#define AVTAB_ALLOWED       0x0001
#define AVTAB_AUDITALLOW    0x0002
#define AVTAB_AUDITDENY     0x0004
#define AVTAB_AV        (AVTAB_ALLOWED | AVTAB_AUDITALLOW | AVTAB_AUDITDENY)
#define AVTAB_TRANSITION    0x0010
#define AVTAB_MEMBER        0x0020
#define AVTAB_CHANGE        0x0040
#define AVTAB_TYPE      (AVTAB_TRANSITION | AVTAB_MEMBER | AVTAB_CHANGE)
/* extended permissions */
#define AVTAB_XPERMS_ALLOWED    0x0100
#define AVTAB_XPERMS_AUDITALLOW 0x0200
#define AVTAB_XPERMS_DONTAUDIT  0x0400
#define AVTAB_XPERMS        (AVTAB_XPERMS_ALLOWED | \AVTAB_XPERMS_AUDITALLOW | \AVTAB_XPERMS_DONTAUDIT)
#define AVTAB_ENABLED_OLD   0x80000000 /* reserved for used in cond_avtab */
#define AVTAB_ENABLED       0x8000 /* reserved for used in cond_avtab */u16 specified;  /* what field is specified */
};

上述为 key 值定义,可以看出 类型 type,类别 class 在内存中都是一个 16 位的无符号整数,可以看作它们的 ID 值,所以理论上来说最多只能定义 65535 个类型。

specified 指明当前是哪种具体的 TE 规则

struct avtab_datum {union {u32 data; /* access vector or type value */struct avtab_extended_perms *xperms;} u;
};

key 值对应的数据如上所示,只有一个元素 32 bit 无符号,扩展属性暂时不用了解,基本没人用

对于 AV 规则,data 为一组权限向量,比如说:

#define FILE__IOCTL                               0x00000001UL
#define FILE__READ                                0x00000002UL
#define FILE__WRITE                               0x00000004UL
#define FILE__CREATE                              0x00000008UL
#define FILE__GETATTR                             0x00000010UL
#define FILE__SETATTR                             0x00000020UL
#define FILE__LOCK                                0x00000040UL
.......

上述是 file 这个类别的权限位定义,在内核里面搜索会发现并没有上述定义,这些宏是内核编译的时候自动生成的,生成脚本对应着 linux/scripts/selinux/genheaders

上述可以看出,每个权限都是 32 bit 中的某一位, data 中某一比特位为 1 表示拥有该权限,为 0 表示没有该权限权限。举个例子,如果存在规则 allow a_t b_file_t : file read; 那么当查询 a_t 类型的进程 对 b_file_t 类型的文件有什么访问权限时,返回结果 data 值中对应 FILE__READ 那个比特位应该为 1

对于 Type 规则,也就是类型转换类的规则,data 表示转换后类型的 ID 值

AVC

TE 规则当中又数 AV 规则使用的最频繁,为了加快查找速度,内核设计了 AVC,Access Vector Cache。

struct avc_entry {u32         ssid;u32         tsid;u16         tclass;struct av_decision  avd;struct avc_xperms_node  *xp_node;
};struct avc_node {struct avc_entry    ae;struct hlist_node   list; /* anchored in avc_cache->slots[i] */struct rcu_head     rhead;
};struct avc_cache {struct hlist_head   slots[AVC_CACHE_SLOTS]; /* head for avc_node->list */spinlock_t      slots_lock[AVC_CACHE_SLOTS]; /* lock for writes */atomic_t        lru_hint;   /* LRU hint for reclaim scan */atomic_t        active_nodes;u32         latest_notif;   /* latest revocation notification */
};

整个 cache 就是一个哈希表,由 avc_node 组成,每个 avc_node 又由 key 值(ssid, tsid, tclass)和 value(avd) 组成。

这里的 key 值有三个,ssid、tsid、tclass,我们对哈希表增删查改需要的 hash 值也是由这三个值算出来。sid,全称 security id,对于 sid 后面会详细讲述,这里先简单说一说。之前有提到过,在 SELinux 中,每个主体和客体都有一个安全上下文(标签),由 4 部分组成(user:role:type:mls),内核中由 struct context 来表示,而 sid 则是与 context 对应的一个 id 值,context 和 sid 一一对应

value 值为 av_decision,其结构体表示如下:

struct av_decision {u32 allowed;      u32 auditallow;u32 auditdeny;u32 seqno;u32 flags;
};

AV 规则有 4 种语句,allow,auditallow,dontaudit,neverallow,前三个与上述的定义对应,最后一个 neverallow 语句是在编译期间起作用,所以内核没有相关定义

对于每一种 AV 规则,内核都定义了一组权限向量,但其实只有 allowed 对应的向量才表示权限授予与否,其他的都是指示当前访问是否应该被日志记录。

比如说对于 FILE__WRITE,如果在 allowed 中对应的比特位为 0,表示没有权限写;如果在 auditdeny 中对应的比特位为 1,即使在 allowed 中表示没有权限写,但是也不会记录在日志中。

上述就是对 AVC 涉及的数据结构进行介绍,其他一些函数大多是哈希表常见的增删改查函数,这里不做详细说明,可以自己阅读相关内核代码,比较简单。这里主要说明权限检查函数,avc_has_perm。

int avc_has_perm(u32 ssid, u32 tsid, u16 tclass,u32 requested, struct common_audit_data *auditdata)
{//将存放权限查询结果struct av_decision avd; int rc, rc2;//调用此函数来进行真正的权限查询,查询结果存放在 avd 中rc = avc_has_perm_noaudit(ssid, tsid, tclass, requested, 0,&avd);//日志记录相关rc2 = avc_audit(ssid, tsid, tclass, requested, &avd, rc,auditdata);if (rc2)return rc2;return rc;
}inline int avc_has_perm_noaudit(u32 ssid, u32 tsid,u16 tclass, u32 requested,unsigned int flags,struct av_decision *avd)
{u32 denied;struct avc_node *node;if (WARN_ON(!requested))return -EACCES;rcu_read_lock();// 根据键值在 avb 中查询 avd_nodenode = avc_lookup(ssid, tsid, tclass);// 如果 node 不存在,则会去查询 security server,然后分配 node,填充node,插入哈希表等操作if (unlikely(!node)) {rcu_read_unlock();return avc_perm_nonode(ssid, tsid, tclass, requested,flags, avd);}// ae.avd.allowed 记录着allowed权限向量,request 表示要查询权限对应的比特位// 一通位操作下来,denied 为 1 表示没有该权限,反之有该权限denied = requested & ~node->ae.avd.allowed;memcpy(avd, &node->ae.avd, sizeof(*avd));rcu_read_unlock();// 一般不太可能为 denied,这么想,如果一个系统的 denied 很多,多半策略有问题,而且系统也不能正常运行// 如果为 denied=1,则 SELinux 还有其他配置让它变为 allowed,比如说如果当前开启了 permissive 模式// 所以这里还需要调用 avc_denied 再次判断当前模式、策略下是否真的没有该权限if (unlikely(denied))return avc_denied(ssid, tsid, tclass, requested, 0, 0,flags, avd);// 返回 0 表示有权限return 0;
}

举个栗子

这一小节用两个例子说明内核里面到底是如何进行 SELinux 权限检查和类型转换的

假如我们正在执行某个 exec 调用,需要检查当前进程是否对该文件有执行权限。内核里面是如何做检查的呢?首先是 DAC 检查,也就是检查是该文件是否有 x 权限位。

当我们访问文件的时候,内核里面经常会调用 inode_permission(idmap, inode, mask) 检查权限。比如说这里想要检查是否有 exec 权限,便会调用inode_permission(idmap, nd->inode, MAY_EXEC);之后会存在如下的调用路径:

inode_permissionsecurity_inode_permissionselinux_inode_permission//将想要查询的权限用 SELinux 中的向量表示file_mask_to_av// 这里的mode就是inode中的mode元素,作用之一就是指示当前文件类型if (!S_ISDIR(mode)){    // mask 可以看作上层想要查询的权限,之后转换为SELinux中对应的权限if (mask & MAY_EXEC)av |= FILE__EXECUTE;} else {//如果访问的是目录,想要检查是否有 exec 权限,那么实际上是想要检查是否有搜索权限if (mask & MAY_EXEC)  av |= DIR__SEARCH;return av// 调用 avc_has_perm 来查询权限,查询结果存放在 &avd 结构中avc_has_perm_noaudit(sid, isec->sid, isec->sclass, perms, 0, &avd);

在 SELinux 中,对于目录和文件的执行权限有不同解释,对于普通文件,那就是真的检查是否可执行。但是对于目录文件来说检查是否能够执行其实指的是能否对该目录进行搜索。

其实在 DAC 中,对于目录和普通文件的 x 权限位解释也是不一样的,一个文件如果有 x,说明该文件可以被执行,如果一个目录有 x,指的是可以进入这个目录, 通俗来讲可以 cd 进去,就需要该目录有 x 权限。

我们上层的种种操作,其背后都需要各种权限,在 SELinux 安全检查的时候都会进行 SELinux 权限检查。

对于类型转换的流程,例子先不说了,这玩意儿还有点点复杂,后面单独来一篇文章说明,好了本文就先到这里,有什么问题欢迎来交流讨论
首发公号:Rand_cs

这篇关于SELinux 安全模型——TE的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/560945

相关文章

大模型研发全揭秘:客服工单数据标注的完整攻略

在人工智能(AI)领域,数据标注是模型训练过程中至关重要的一步。无论你是新手还是有经验的从业者,掌握数据标注的技术细节和常见问题的解决方案都能为你的AI项目增添不少价值。在电信运营商的客服系统中,工单数据是客户问题和解决方案的重要记录。通过对这些工单数据进行有效标注,不仅能够帮助提升客服自动化系统的智能化水平,还能优化客户服务流程,提高客户满意度。本文将详细介绍如何在电信运营商客服工单的背景下进行

Andrej Karpathy最新采访:认知核心模型10亿参数就够了,AI会打破教育不公的僵局

夕小瑶科技说 原创  作者 | 海野 AI圈子的红人,AI大神Andrej Karpathy,曾是OpenAI联合创始人之一,特斯拉AI总监。上一次的动态是官宣创办一家名为 Eureka Labs 的人工智能+教育公司 ,宣布将长期致力于AI原生教育。 近日,Andrej Karpathy接受了No Priors(投资博客)的采访,与硅谷知名投资人 Sara Guo 和 Elad G

Retrieval-based-Voice-Conversion-WebUI模型构建指南

一、模型介绍 Retrieval-based-Voice-Conversion-WebUI(简称 RVC)模型是一个基于 VITS(Variational Inference with adversarial learning for end-to-end Text-to-Speech)的简单易用的语音转换框架。 具有以下特点 简单易用:RVC 模型通过简单易用的网页界面,使得用户无需深入了

透彻!驯服大型语言模型(LLMs)的五种方法,及具体方法选择思路

引言 随着时间的发展,大型语言模型不再停留在演示阶段而是逐步面向生产系统的应用,随着人们期望的不断增加,目标也发生了巨大的变化。在短短的几个月的时间里,人们对大模型的认识已经从对其zero-shot能力感到惊讶,转变为考虑改进模型质量、提高模型可用性。 「大语言模型(LLMs)其实就是利用高容量的模型架构(例如Transformer)对海量的、多种多样的数据分布进行建模得到,它包含了大量的先验

图神经网络模型介绍(1)

我们将图神经网络分为基于谱域的模型和基于空域的模型,并按照发展顺序详解每个类别中的重要模型。 1.1基于谱域的图神经网络         谱域上的图卷积在图学习迈向深度学习的发展历程中起到了关键的作用。本节主要介绍三个具有代表性的谱域图神经网络:谱图卷积网络、切比雪夫网络和图卷积网络。 (1)谱图卷积网络 卷积定理:函数卷积的傅里叶变换是函数傅里叶变换的乘积,即F{f*g}

秋招最新大模型算法面试,熬夜都要肝完它

💥大家在面试大模型LLM这个板块的时候,不知道面试完会不会复盘、总结,做笔记的习惯,这份大模型算法岗面试八股笔记也帮助不少人拿到过offer ✨对于面试大模型算法工程师会有一定的帮助,都附有完整答案,熬夜也要看完,祝大家一臂之力 这份《大模型算法工程师面试题》已经上传CSDN,还有完整版的大模型 AI 学习资料,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

AI Toolkit + H100 GPU,一小时内微调最新热门文生图模型 FLUX

上个月,FLUX 席卷了互联网,这并非没有原因。他们声称优于 DALLE 3、Ideogram 和 Stable Diffusion 3 等模型,而这一点已被证明是有依据的。随着越来越多的流行图像生成工具(如 Stable Diffusion Web UI Forge 和 ComyUI)开始支持这些模型,FLUX 在 Stable Diffusion 领域的扩展将会持续下去。 自 FLU