《精编最新操作系统教程(第三版)》由会员分享,可在线阅读,更多相关《精编最新操作系统教程(第三版)(51页珍藏版)》请在金锄头文库上搜索。
1、3 最小特权的实现 (1) 传统UNIX/Linux特权管理 1)普通用户没有特权,超级同户拥有所有特权 。 2)当进程要进行某特权操作时,系统检查进程 所代表的用户是否为超级用户、 3)普通用户涉及特权操作时,通过setuid/setgid 实现。用户希望访问/etc/passed来修改自己的 密码,必须使他能超越对客体的受限访问。 setuid/setgid可以使得代表普通用户的进程不 继承用户的uid/gid,而是继承该进程对应的应 用程序文件(可执行文件)的所有者的uid/gid、 即普通用户暂时获得其他用户身份,并通过该 身份访问客体。由于此项活动具有局限性,具 系统还会进行安全检查
2、,有助于维护系统安全 性。(2) Linux最小特权的实现 1)系统安全管理员:用来维护系统中与安全 性相关的信息,包括对系统用户账户的管理、 系统中的主体客体安全级的管理以及设置和维 护系统的安全数据库; 2)系统审计员:用来设置审计开关和审计阈 值,启动和关闭审计机制以及管理审计日志; 3)系统操作员:用来完成系统中日常的操作 和维护,包括开启和关闭系统、对文件的档案 备份和恢复、安装或卸载文件系统以及向终端 发送消息等等。 4)网络管理员:用来完成所有与网络相关的 管理与操作。(1)Linux系统中对权能的定义 系统将系统管理的权限进行分割,共30种权能 :例如,超越改变系统文件所有者和
3、组所有的 的特权;超越所有自主访问控制机制的约束的 特权;超越所有强制访问控制机制的约束的特 权;修改文件属性的特权;写审计文档的特权 ;配置进程记帐的特权;打开或关闭缓冲区的 特权;删除信号量的特权;文件系统上设置加 密口令的特权;安装或卸下文件系统的特权; 改变和设置进程安全的级特权;改变和设置文 件安全级的特权;处理系统时钟和设置实时时 钟的特权;设置加密密钥的特权,等等。(2)基于Linux系统中的权能构 造最小特权机制 要在Linux系统中实现最小特权管理,可 以参照多级安全模型对强制访问控制机 制的实现方法,对系统中的每个可执行 文件赋予相应的特权集,同时对于系统 中的每个进程,根
4、据其执行的程序和所 代表的用户,也赋予相应的特权集。 新进程继承的特权 新进程继承的特权既有进程的特权,也 有所运行文件的特权,称为“基于文件 的特权机制”。这种机制的最大优点是 特权的细化,其可继承性提供了一种执 行进程中增加特权的能力。 1)文件的特权的实现 可执行文件具有两个特权集,当通过exec系统 调用时,进行特权的传递。 固定特权集:固有的特权,与调用进程或 父进程无关,将全部传递给执行它的进程。 可继承特权集:只有当调用进程具有这些 特权时,才能激活这些特权。 这两个集合是不能重合的,即固定特权集与 可继承特权集不能共有一个特权。当然,可执 行文件也可以没有任何特权。当文件属性被
5、修 改时(例如,文件打开写或改变它的模式), 它的特权会被删去,这将导致从TCB中删除此 文件。因此,如果要再次运行此文件,必须重 新给它设置特权。2)进程的特权 当fork一个子进程时,父子进程的特权是一 样的。但是,当通过exec执行某个可执行文件 时,进程的特权取决于调用进程的特权集和可 执行文件的特权集。每个进程都具有三个特权 集: 最大特权集(permitted privileges set): 可能具有的最大特权。 可继承特权集(inheritable privileges set) :决定进程执行exec后进程是否保留提升后特 权的特权集。 有效特权集(effective pri
6、vileges set):进 程当前使用的特权集。新进程时的特权计算 调用 进程调用 进程继承特权集 3,5,9最大特权集 3,5,9有效特权集 5继承特权集 3,9固定特权集 2,6可执 行文 件继承特权集 3,5,9最大特权集 2,3,6,9有效特权集 2,3.6,9exec( ) ( 3)权能表的修改 为在Linux系统中实现最小特权机制,可以在 Linux/include/Linux/capabilities中加入以下几 项能力: 1)CAP_MAC_READ 用来超越强制访问控 制机制的读访问限制。 2)CAP_MAC_WRITE 用来超越强制访问控 制机制的写访问限制。 3)CAP
7、_AUDIT 用来管理审计系统的权限 。(4)进程的特权 在Linux系统的进程结构中,已经有三个向量表 示进程的特权类型:cap_ effective、 cap_inheritable、cap_permitted。它们是 kernel_cap_t类型(无符号长整形)的数据。 进程的有效特权集(cap_effective)表明了进 程当前使用的特权情况,进程的最大特权集( cap_permitted)表明了进程可拥有的最多特权 ,进程的可继承特权集(cap _inheritable)包 含进程下一步exec新文件时所拥有的特权集。 kernel _cap _t类型是一个无符号整数表示,共 32
8、位,每一个位表示系统细分的一命特权。(5)文件的特权 对于文件特权的实现,可以以特权数据库来 表示,例如,可以创建核心特权文件filepriv, 其入口项的格式如下所示: “dev:fid:valid:fixed privileges:inher privileges:path name”格式 其中,dev:表示包含该文件的设备;fid:表 示该文件的ID号;valid:以十进制串的形式表 示inode中标记该文件状态最近一次被修改的 时间;fixed privilege:文件的固定特权;inher privilege:文件的可继承特权;path name:文 件的绝对路径名。4 安全审计的实
9、现 安全操作系统中的安全审计,要求为下述可 审计事件产生审计记录: 1)审计功能的启动和关闭; 2)使用身份鉴别机制; 3)将客体引入用户地址空间(例如:打开文 件、程序初始化); 4)删除客体; 5)系统管理员、系统安全员、审计员和一般 操作员所实施的操作; 6)其他与系统安全有关的事件或专门定义的 可审计事件。 审计记录应包括 事件的日期和时间、用户、事件类型、 事件是否成功,及其他与审计相关的信 息。特别地,对于身份鉴别事件,审计 记录应包含请求的来源(如终端标识符 );对于客体被引入用户地址空间的事 件及删除客体事件,审计记录应包含客 体名及客体的安全级别。 审计缓冲区 审计点审计点审
10、计点审计系 统调用内核审计进 程审计日 志文件用户态核心态循环缓冲(4)审计点的处理 1)对系统调用及客体安全级范围的审计 a)在每个系统调用的入口处:若进程有 AEXEMPT标记,则不作审计,否则通过系统 调用号索引“系统检查函数表”,得到真正的 检查函数入口,再根据系统调用参数判定它应 属于哪个审计事件,将事件号作为中间结果赋 给进程task结构的 a_event备用,接着检查事件 号是否属于进程审计标准a_procemask,是则 对进程 task结构设AUDITME标记,不是则返 回。 b)系统调用的出口处:检查进程task结构的 AUDITME标记是否置位,是则通过系统调用 号索引“
11、系统记录函数表”,得到真正的记录 函数入口,调用它将数据写入缓冲区,并清除 AUDITME标记;否则不做审计动作。 c)主体访问客体的权限检查处:对于系统调用 引发的客体访问,要根据客体安全级判定是否 审计。可以在客体访问的必经之地namei作检 查,若进程task结构的AUDITME标记置位,则 说明该事件已经属于主体(进程)审计范围,不 必重复记录,返回即可; 否则,根据系统调用入口判定的事件号 a_event,检查该事件是否属于对象审计标准 ,是则检查当前客体的安全级是否在待审计的 系统安全级范围中,若是则置位AUDITME标 记,否则返回。(6)审计系统自身的安全保护 1)程序和代码的
12、安全 在发布的系统中,只提供执行代码, 源程序不可见,对用户屏蔽了系统的工 作细节。审计数据的采集记录部分集成 到安全内核,审计进程的执行不受外界 影响,核外的应用程序(审计管理员配置 程序和审计数据显示分析程序)则严格遵 循强制访问控制MAC和最小特权控制 PAC,保证只有审计管理员才能使用这 些程序。2)系统配置和审计数据的安全 配置文件包括系统和用户审计标准、审 计系统的运行参数、审计事件的定义等 ,这些文件也必须施加MAC控制。 7.5.5 信息系统安全评估标准简介 1操作系统安全漏洞扫描 为了确保安全操作系统的安全性,人们首先 想到采用专用工具扫描操作系统的安全漏洞, 以达到发现漏洞
13、和采取补救措施。操作系统安 全漏洞扫描的主要内容有:(1)设置错误:设置 是很困难的,设置错误可能导致一系列安全漏 洞,可以检查系统设置,搜索安全漏洞,判断 是否符合安全策略。(2)黑客踪迹:黑客留下的 踪迹常常可以检测到,软件能检查是否有黑客 侵入系统、盗取口令,也可检查某些关键目录 下是否有黑客放置的可疑文件。(3)特洛伊木马 :黑客常常在系统内嵌入这类程序,软件软件 能够检查系统文件的非授权修改和不合适的版 本,既检测了漏洞,也有利于版本控制。2操作系统安全评测方法 (1)形式化验证: (2)非形式化确认: (3)入侵测试: 3操作系统安全测评准则 美国国防部于1983年推出了历史上第一
14、 个计算机系统安全评测准则 TCSEC(Trusted Computer System Evaluation Criteria),又称桔皮书,从而 ,带动了国际正计算机系统安全评测的 研究,德国、英国、加拿大、西欧等纷 纷制定了各自的计算机系统安全评价标 准。近年来,我国也制定了相应的国家 标准GB17859-1999和GB/T18336-2001 等标准。TCSEC的主要内容 对可信任计算机信息系统有6项基本需求,基 中,4项涉及存取控制,2项涉及安全保障:需 求1-安全策略、需求2-标记、需求3-标识、需 求4-审计、需求5-保证、需求6-连续保护。 根据6项基本需求,TCSEC在用户登录
15、、授权 管理、访问控制、审计跟踪、隐蔽信道分析、 可信通路建立、安全检测、生命周期保证、文 档写作等各方面,均提出了规范性要求,并根 据所采用的安全策略、系统所具有的安全功能 把系统分为4类7个安全等级 D类D级,安全性最低级,整个系统不可信任。 C类自主保护类, C1级自主安全保护。 C2级受控制的存取控制系统,引入DAC和审计机 制。 B类强制保护类, B1级标记安全保护级,引入MAC、标记和标记管 理。 B2级结构保护级,具有形式化安全模型,完善的 MAC,可信通路、系统结构化设计、最小特权管理、 隐蔽信道分析。 B3级安全域级,访问监控机制、TCB最小复杂性 设计、审计实时报告和对硬件的要求。 A类A1级(仅一个级别),验证保护类,严格的设计、 控制和验证过程。 7.6 实例研究:安全操作系统SELinux 图7-31 SELinux安全体系结构安全服务器安全策略SID到安全上 下文的映射对象管理器策略执行对象到SID映射查询决策客户机7.7实例研究:Windows 2000/XP安 全机制 Windows 2000/XP提供了一组可配置的 安全服务和灵活的访问控制能力,能 满足分布式
