访问控制-第3章ppt课件.ppt

《访问控制-第3章ppt课件.ppt》由会员分享，可在线阅读，更多相关《访问控制-第3章ppt课件.ppt（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、身份认证与访问控制技术身份认证与访问控制技术第3章 强制访问控制3.1 基本概念3.2 操作系统的强制访问控制3.3 SELinux实现的TE模型3.4 访问判定与切换判定3.1.1 MAC3.1.1 MAC定义定义3.1.2 MAC3.1.2 MAC模型模型3.1.3 MAC3.1.3 MAC特点特点3.1 基本概念 强制安全性：强制安全性：多级安全策略多级安全策略为基础为基础 对安全操作系统有以下要求：对安全操作系统有以下要求： 安全策略：要有明确、严谨、文档齐全的安全策略安全策略：要有明确、严谨、文档齐全的安全策略 标识：每个实体必须标识其安全级别标识：每个实体必须标识其安全级别 认证：

2、认证： 每个主体必须被认证每个主体必须被认证 审计：对影响安全的事件，必须记录日志，并进行审计。审计：对影响安全的事件，必须记录日志，并进行审计。 保证：系统必须确保上述保证：系统必须确保上述4项要求被实施项要求被实施 连续性保护：实现安全的机制必须是不间断地发挥作用，并且未连续性保护：实现安全的机制必须是不间断地发挥作用，并且未经许可不可改动。经许可不可改动。美国国防部的桔皮书（美国国防部的桔皮书（TCSEC）：）：Trusted Computer System Evaluation Criteria D级：最低的安全保护级级：最低的安全保护级 D级是最低的安全保护级级是最低的安全保护级 属

3、于属于D级的系统是不安全的级的系统是不安全的 除了物理上的一些安全措施外，没有什幺其它安全除了物理上的一些安全措施外，没有什幺其它安全 用户只要开机后就可支配所有资源用户只要开机后就可支配所有资源 DOS,WINDOWS 3.2 C1级：自主安全保护级级：自主安全保护级 通过用户名和口令进行身份认证通过用户名和口令进行身份认证 每个用户对属于他们自己的客体具有控制权每个用户对属于他们自己的客体具有控制权 划分属主、同组用户和其他用户划分属主、同组用户和其他用户3个层次。属主控制这个层次。属主控制这3个层次个层次的存储权限的存储权限 实体没有划分安全级别实体没有划分安全级别 多数多数UNIX 、

4、 LINUX ，Windows NT C2级：受控制的安全保护级级：受控制的安全保护级 系统记录日志，并进行审计。系统记录日志，并进行审计。 身份认证更强，口令以密文存储。身份认证更强，口令以密文存储。 采用以用户为单位的自主访问控制机制。采用以用户为单位的自主访问控制机制。 部分部分UNIX 、LINUX ，VMS B1级：标记安全保护级级：标记安全保护级 采用多级安全策略采用多级安全策略 采用强制访问控制采用强制访问控制 强制访问控制并不取消原来的自主访问控制，而是在此之外另加强制访问控制并不取消原来的自主访问控制，而是在此之外另加的。的。 实体都划分安全级别实体都划分安全级别 属主也不能

5、改变对自己客体的存储权限属主也不能改变对自己客体的存储权限 B2级：结构化的安全保护级级：结构化的安全保护级 要有形式化的安全模型要有形式化的安全模型 更完善的强制访问控制更完善的强制访问控制 隐蔽通道隐蔽通道(如果一个通道既不是设计用于通信,也不是用于传递信息,则称该通道为隐蔽通道)分析与处理分析与处理一般认为一般认为B2级以上的操作系统才是安全操作系统级以上的操作系统才是安全操作系统 Honeywell公司的公司的MULTICS 、TIS公司的公司的Trusted XENIX B3级：安全域级级：安全域级 把系统划分为一些安全域，用硬件把安全域互相分割开来把系统划分为一些安全域，用硬件把安

6、全域互相分割开来 提供可信路径机制，确保用户与可信软件是连接的，防止假冒进提供可信路径机制，确保用户与可信软件是连接的，防止假冒进程。程。 更全面的访问控制机制。更全面的访问控制机制。 更严格的系统结构化设计。更严格的系统结构化设计。 更完善的隐通道分析。更完善的隐通道分析。 HFS公司的公司的UNIX XTS-2000 STOP3.1E A1级：验证安全设计级级：验证安全设计级 安全模型要经过数学证明安全模型要经过数学证明 对隐通道进行形式化分析对隐通道进行形式化分析 Honeywell公司公司 SCOMP、波音公司、波音公司MLS LAN OS 注意：注意： 分级的顶端是无限的，还可加入分

7、级的顶端是无限的，还可加入A2、A3级等。级等。 每一级的安全性都包含前一级的安全性。每一级的安全性都包含前一级的安全性。中国计算机信息系统安全保护等级划分准则：中国计算机信息系统安全保护等级划分准则： 根据中国国情、参照根据中国国情、参照桔皮书，将其桔皮书，将其7的级别合并为的级别合并为5个级别（个级别（GB1178591999） 第一级：用户自主保护级；第一级：用户自主保护级； 第二级：系统审计保护级；第二级：系统审计保护级； 第三级：安全标记保护级；第三级：安全标记保护级； 第四级：结构化保护级；第四级：结构化保护级； 第五级：访问验证保护级。第五级：访问验证保护级。 第一级：用户自主保

8、护级；第一级：用户自主保护级； 通过隔离用户与数据，使用户具备自主安全保护的能力。它具通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。非法读写与破坏。 自主访问控制自主访问控制 例如：访问控制表例如：访问控制表 身份鉴别身份鉴别 例如：口令例如：口令 数据完整性数据完整性 通过自主完整性策略，阻止非授权用户修改或通过自主完整性策略，阻止非授权用户修改或破坏敏感

9、信息。破坏敏感信息。 第二级：系统审计保护级；第二级：系统审计保护级； 本级的计算机实施了粒度更细的自主访问控制，它通过登录规程、本级的计算机实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。审计安全性相关事件和隔离资源，使用户对自己的行为负责。 默认访问控制机制是自主访问控制。访问控制的粒度是单个用户。默认访问控制机制是自主访问控制。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。没有存取权的用户只允许由授权用户指定对客体的访问权。 身份鉴别：通过为用户提供唯一标识、计算机能够使用户对自己的身份鉴别：通过为用户提

10、供唯一标识、计算机能够使用户对自己的行为负责。计算机还具备将身份标识与该用户所有可审计行为相关行为负责。计算机还具备将身份标识与该用户所有可审计行为相关联的能力。联的能力。 阻止客体重用：客体只有在释放且清除原信息后才让新主体使用阻止客体重用：客体只有在释放且清除原信息后才让新主体使用 审计：计算机能创建和维护受保护客体的访问审计跟踪记录，并能审计：计算机能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。阻止非授权的用户对它访问或破坏。 第三级：安全标记保护级；第三级：安全标记保护级； 具有系统审计保护级所有功能。此外，还提供有关安全策略模型具有系统审计保护级所有功

11、能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。准确地标记输出信息的能力；消除通过测试发现的任何错误。 强制访问控制：计算机对所有主体及其所控制的客体（例如：进强制访问控制：计算机对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访

12、问控制的依据。实施强制访问控制的依据。 标记：计算机应维护与主体及其控制的存储客体（例如：进程、标记：计算机应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。基础。 第四级：结构化保护级；第四级：结构化保护级； 建立于一个明确定义的形式化安全策略模型之上，它要求将第三建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。级系统中的自主和强制访问控制扩展到所有主体与客体。 考虑隐蔽通道。考虑隐蔽通道。 必须结构化为关键保护元素和非关键

13、保护元素。计算机接口也必必须结构化为关键保护元素和非关键保护元素。计算机接口也必须明确定义，使其设计与实现能经受更充分的测试须明确定义，使其设计与实现能经受更充分的测试 加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。施管理；增强了配置管理控制。系统具有相当的抗渗透能力。 第五级：访问验证保护级第五级：访问验证保护级 本级的计算机满足访问监控器需求。访问监控器仲裁主体对客体本级的计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，

14、能够分的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。析和测试。 支持安全管理员职能，扩充审计机制，提供系统恢复机制。系统支持安全管理员职能，扩充审计机制，提供系统恢复机制。系统具有很高的抗渗透能力。具有很高的抗渗透能力。 隐蔽信道分析隐蔽信道分析 可信路径可信路径 可信恢复可信恢复 桔皮书和桔皮书和GB117859的局限性的局限性 桔皮书注意确保数据的秘密性，而没有注意确保数据的真实性桔皮书注意确保数据的秘密性，而没有注意确保数据的真实性和完整性。和完整性。 忽略了防范诸如拒绝服务之类的攻击。忽略了防范诸如拒绝服务之类的攻击。 只给出了评测等级，没有给出达到这种等级所要采取

15、的系统结只给出了评测等级，没有给出达到这种等级所要采取的系统结构和技术路线。构和技术路线。CC标准：标准： 美国国家安全局、国家技术标准研究所、法国、加拿大、英国、美国国家安全局、国家技术标准研究所、法国、加拿大、英国、德国、荷兰六国七方，联合提出了新的德国、荷兰六国七方，联合提出了新的“ 信息技术安全评价通信息技术安全评价通用准则用准则”（CC for ITSEC），并于），并于1999年年5月正式被月正式被ISO颁布为颁布为国际标准，。国际标准，。 增强了对真实性和完整性的保护。增强了对真实性和完整性的保护。 仍没有给出达到标准所要采取的系统结构和技术路线。仍没有给出达到标准所要采取的系统

16、结构和技术路线。 强制安全性：多级安全策略为基础强制安全性：多级安全策略为基础 强制安全性策略：安全策略管理员控制策略强制安全性策略：安全策略管理员控制策略 强制访问控制强制访问控制MAC 在强制访问控制下，用户（或其他主体）与文件（或其他客体）在强制访问控制下，用户（或其他主体）与文件（或其他客体）都被标记了固定的安全属性（如安全级、访问权限等），在每次都被标记了固定的安全属性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问访问发生时，系统检测安全属性以便确定一个用户是否有权访问该文件。主要用于保护敏感数据。该文件。主要用于保护敏感数据。 强制：系统管

17、理设置，用户不参与强制：系统管理设置，用户不参与 常用于军事系统常用于军事系统 敏感标签敏感标签 对象：用户和文件对象：用户和文件 组成：类别组成：类别(TSCU)和类集合和类集合(信息的不同区域信息的不同区域) SecretVenus Tank 信息的输入与输出信息的输入与输出 主体标签主体标签 客体标签客体标签 访问请求访问请求 安全标记安全标记 安全等级标记和非等级分类标记安全等级标记和非等级分类标记 下读：下读：SC(s)SC(o) R 上写：上写：SC(s)SC(o) W 上读：上读：SC(s)=SC(o)可读可读rd SC(s)=SC(o)可写可写wu 不上读不上读/ /不下写保证

18、保密性不下写保证保密性禁止读禁止读允许读允许读Top Secret主体主体SecretUnclassifiedTop Secret客体客体SecretUnclassified允许读允许读允许写允许写禁止写禁止写Top Secret主体主体SecretUnclassifiedTop Secret客体客体SecretUnclassified允许写允许写 防火墙所实现的单向访问机制防火墙所实现的单向访问机制 不允许敏感数据从内部网络（安全级别为不允许敏感数据从内部网络（安全级别为“机密机密”）流向）流向Internet（安全级别为（安全级别为“公开公开”） 提供提供“不上读不上读”功能来阻止功能来阻

19、止Internet对内部网络的访问对内部网络的访问 提供提供“不下写不下写”功能来限制进入内部的数据流只能经由由内向外发功能来限制进入内部的数据流只能经由由内向外发起的连接流入起的连接流入(例如，允许例如，允许HTTP的的GET操作而拒绝操作而拒绝POST操作操作，或阻止任何外发的邮件，或阻止任何外发的邮件 ) Ken Biba完整性完整性 系统包括一个主体集合系统包括一个主体集合S，一个客体集合，一个客体集合O和一个完整性等级集合和一个完整性等级集合I，这些等级是有序的。，这些等级是有序的。 等级越高，程序正确执行的可靠性就越高。高等级的数据比低等级等级越高，程序正确执行的可靠性就越高。高等

20、级的数据比低等级的数据具备更高的精确性和可靠性。这个概念隐含的融入了的数据具备更高的精确性和可靠性。这个概念隐含的融入了“信任信任”这个概念。事实上，用于衡量完整性等级的术语是这个概念。事实上，用于衡量完整性等级的术语是“可信度可信度”。 s S可以读取可以读取o O，当且仅当，当且仅当i ( s ) i ( o )。 s S可以写入可以写入o O，当且仅当，当且仅当i ( o ) i ( s )。 s1 S可以执行可以执行s2 S，当且仅当，当且仅当i (s2 ) i (s1 )。 SC(s)=SC(o)可写可写wd 不下读不下读/不上写保证完整性不上写保证完整性允许读允许读禁止读禁止读Hi

21、ghMediumLow允许读允许读禁止写禁止写允许写允许写允许写允许写HighMediumLowHighMediumLowHighMediumLow 对对WEB服务器的访问过程服务器的访问过程 定义定义Web服务器上发布的资源安全级别为服务器上发布的资源安全级别为“秘密秘密”，Internet上用上用户的安全级别为户的安全级别为“公开公开”，依照，依照Biba模型，模型，Web服务器上数据的完服务器上数据的完整性将得到保障整性将得到保障 Internet上的用户只能读取服务器上的数据而不能更改它上的用户只能读取服务器上的数据而不能更改它 MAC特点特点 强制性强制性 限制性限制性 灵活性差灵活

22、性差3.2.1 TE3.2.1 TE模型模型3.2.2 DTE3.2.2 DTE模型模型3.2 操作系统的强制访问控制 TE模型模型(Type Enforcement) 基础：对基础：对主体主体、客体客体进行分组，定义进行分组，定义域域和和类型类型。 访问控制属性：为主体定义访问控制属性：为主体定义域标签域标签，为客体定义，为客体定义类型标签类型标签 方法：确定具体域对类型拥有的访问权限方法：确定具体域对类型拥有的访问权限 二维矩阵实现域定义表二维矩阵实现域定义表DDT 例例3.1 在上图的域定义表中，设进程在上图的域定义表中，设进程Px准备读取文件准备读取文件Fy，请说明，请说明判定过程判定

23、过程 DDT不表述主体成为客体，主体之间相互作用的访问控制用域相不表述主体成为客体，主体之间相互作用的访问控制用域相互作用表互作用表DIT描述，访问权限有发信号，创建进程，释放进程等描述，访问权限有发信号，创建进程，释放进程等 TE模型：使用模型：使用DDT，DIT控制访问，系统管理员定义域、类型、控制访问，系统管理员定义域、类型、DDT和和DIT。 例例3.2 假设在一个假设在一个OS中需运行中需运行Telnet，Web，Email，FTP等多等多种应用系统，使用种应用系统，使用TE模型的访问控制方法，给出一个访问控制模型的访问控制方法，给出一个访问控制方案，要求能是各种应用系统相互不干扰工

24、作方案，要求能是各种应用系统相互不干扰工作 为应用定义域和类型为应用定义域和类型 将应用所用文件放入类型将应用所用文件放入类型 根据需要定义相关权限根据需要定义相关权限达到应用系统隔离达到应用系统隔离 TE缺陷缺陷 访问控制权限配置复杂访问控制权限配置复杂 二维表无法反映系统内在结构二维表无法反映系统内在结构 控制策略从控制策略从0开始定义开始定义 DTE模型模型(Domain and Type Enforcement) TE的改进版的改进版 DTEL：描述安全属性和访问控制配置：描述安全属性和访问控制配置 使用隐含方式表示文件安全属性使用隐含方式表示文件安全属性 详细参考详细参考 DTEL：

25、类型描述，类型赋值，域描述，初始域设定：类型描述，类型赋值，域描述，初始域设定 类型描述类型描述 Type unix_t,specs_t,budget_t,rates_t； 类型赋值类型赋值 Rule:如果没有显示的给文件系统中的一个客体赋类型值，那么，如果没有显示的给文件系统中的一个客体赋类型值，那么，该客体的类型值与其父目录的类型值相同该客体的类型值与其父目录的类型值相同 assign r-s unix_t /; assign r-s specs_t /subd/specs; assign r-s budget_t /subd/budget; assign r-s rates_t /sub

26、d/rates; 域描述域描述 主体域，入口点，访问权限主体域，入口点，访问权限(域对域，域对类型域对域，域对类型) define DEF (/bin/sh),(/bin/csh),(rxd-unix_t) domain engineer_d =DEF,(rwd-specs_t) domain project_d=DEF,(rwd-budget_t),(rd-rates_t) domain accounting_d =DEF,(rd-budget_t),(rwd-rates_t) 系统域描述和初始域设定系统域描述和初始域设定 domain system_d =(/etc/init),(rwxd

27、-unix_t),(auto-login_d) domain login_d =(/bin/login),(rwxd-unix_t), (exec-engineer_d,project_d, accounting_d ) Initial_domain =system_d3.3.1 3.3.1 SELinuxSELinux操作系统操作系统3.3.2 SETE3.3.2 SETE模型与模型与DTEDTE模型的区别模型的区别3.3.3 SETE3.3.3 SETE模型的访问控制方法模型的访问控制方法3.3.4 3.3.4 授权进程切换工作域授权进程切换工作域3.3.5 3.3.5 进程工作域的自动切

28、换进程工作域的自动切换3.3 SELinux实现的TE模型 SELinux(Security-Enhanced Linux) 是美国国家安全局（是美国国家安全局（NSA）对于强制访问控制的实现，）对于强制访问控制的实现， Linux最杰出的安全子系统最杰出的安全子系统。从。从fedora core 2开始，开始，2.6内核的版本都支持内核的版本都支持selinux Linux不足不足 存在特权用户存在特权用户root：任何人只要得到：任何人只要得到root的权限，对于整个系统的权限，对于整个系统都可以为所欲为。都可以为所欲为。 对于文件的访问权的划分不够细：在对于文件的访问权的划分不够细：在l

29、inux系统里，对于文件的系统里，对于文件的操作，只有所有者操作，只有所有者,所有组所有组,其他这类的划分。其他这类的划分。 对对于其他这一类里的用户再细细的划分的话就没有办法了。于其他这一类里的用户再细细的划分的话就没有办法了。 SUID程序的权限升级：如果设置了程序的权限升级：如果设置了SUID权限的程序有了漏洞的权限的程序有了漏洞的话，很容易被攻击者所利用。话，很容易被攻击者所利用。 DAC(Discretionary Access Control)问题：文件目录的所有者问题：文件目录的所有者可以对文件进行所有的操作，这给系统整体的管理带来不便。可以对文件进行所有的操作，这给系统整体的管

30、理带来不便。 对于以上这些的不足，防火墙，入侵检测系统都是无能为力的。对于以上这些的不足，防火墙，入侵检测系统都是无能为力的。 SELinux特点特点 MAC：访问控制彻底化：访问控制彻底化 TE：对进程只赋予最小权限：对进程只赋予最小权限(Access Vector) domain迁移：防止权限提升迁移：防止权限提升 RBAC：对用户只赋予最小的权限：对用户只赋予最小的权限 SETE与与DTE的区别的区别 类型的细分类型的细分(增加客体增加客体class ：security process system capability filesystem file dir fd lnk_file c

31、hr_file blk_file sock_file fifo_file socket tcp_socke tudp_socket msgq semmsg shm ipcnode netif netlink_socket packet_socket key_socket rawip_socket unix_stream_socket unix_dgram_socket passwd) 权限的细化：权限的细化：每个每个class都定义了操作许可，如：都定义了操作许可，如：file有有19个操作许可个操作许可：ioctl read write create getattr setattr lock

32、 relabelfrom relabelto append unlink link rename execute swapon quotaon mounton execute_no_trans entrypoint 安全上下文：安全上下文：SELinux给每个主体和客体定义了一个安全上下文（给每个主体和客体定义了一个安全上下文（security context）。安全上下文是对主体或客体安全的描述，其格式）。安全上下文是对主体或客体安全的描述，其格式为：为：user:role:type，如：，如：root:sysadm_r:sysadm_t，其中，其中root为用为用户户ID（user），），

33、sysadm_r为角色为角色ID（role），），sysadm_t为类型（为类型（type）ID。安全上下文代表了。安全上下文代表了SELinux的访问控制属性。安全标识符的访问控制属性。安全标识符（security identifier，简称，简称SID）是内核中激活的安全上下文的序号。）是内核中激活的安全上下文的序号。 例例3.3 SETE模型中常用的客体是模型中常用的客体是file, dir, process, socket,filesystem, 例举常见的权限例举常见的权限 SETE的访问控制方法的访问控制方法 所有访问必须明确授权，通过所有访问必须明确授权，通过SEPL(Polic

34、y Language)授权授权 TE访问向量规则（访问向量规则（TE Access Vector Rules）：访问向量规则允许域）：访问向量规则允许域访问各种系统客体，一个访问各种系统客体，一个AV是一套许可。语法如下：是一套许可。语法如下： : 在以下四种设置：在以下四种设置：1.allow 表示允许主体对客体执行允许的操作。表示允许主体对客体执行允许的操作。2.neverallow 表示不允许主体对客体执行指定的操作。表示不允许主体对客体执行指定的操作。3.auditallow 表示允许操作并记录访问决策信息。表示允许操作并记录访问决策信息。4.dontaudit 表示不记录违反规则的决

35、策信息，且违反规则不影响运行表示不记录违反规则的决策信息，且违反规则不影响运行Allow规则格式：规则格式：allow source_type target_type : object_class perm_list; 举例：举例：#允许域允许域user_t对对bin_t类型客体进行类别为类型客体进行类别为file的的read等操作等操作allow user_tbin_t:fileread getattr lock execute ioctl execute_no_trans;#允许域允许域user_t对它自己类型的客体进行对它自己类型的客体进行process类别的所有操作类别的所有操作all

36、ow user_tself: process *;#允许域允许域userdomain对对shell_exec_t类型客体进行类型客体进行file类别类别read等操作等操作allow userdomain shell_exec_t: file read getattr lock execute ioctl; 举例：举例：# 不允许域不允许域passwd_t对非对非bin_t等类型的客体进行等类型的客体进行file类别的类别的execute_no_trans操作操作neverallow passwd_t bin_t sbin_t ld_so_t : file execute_no_trans;#

37、不允许域不允许域domain对非对非domain类型的客体进行类型的客体进行process类别的类型转类别的类型转移操作移操作neverallow domain domain: process transition; 例例3.4 说明说明allow user_d bin_t:file read,execute,getattr;含义含义 例例3.5 Linux中中/etc/shadow文件保存用户的口令信息，文件保存用户的口令信息，passwd程序管理口令信息。为用户提高修改口令的功能，设两个文件在程序管理口令信息。为用户提高修改口令的功能，设两个文件在Linux中的部分权限如下：中的部分权限如

38、下：r- root root shadowr-s-x-x root root passwd请说明请说明passwd程序为普通用户修改口令的方法，该方法存在什程序为普通用户修改口令的方法，该方法存在什么不足，如何使用么不足，如何使用SETE模型克服不足。模型克服不足。 授权进程切换工作域授权进程切换工作域 例例3.6 设用户设用户Bob登录进入登录进入SELinux系统准备修改其口令，试分系统准备修改其口令，试分析与该过程有关的进程可能析与该过程有关的进程可能涉及域涉及域的情况，以及可能遇到的的情况，以及可能遇到的访问访问权限权限问题。问题。 例例3.7 设用户设用户Bob登录进入登录进入SEL

39、inux系统准备修改其口令，试分系统准备修改其口令，试分析该过程通过析该过程通过改变进程的有效身份改变进程的有效身份以获得以获得shadow口令文件的权口令文件的权限方法。限方法。 例例3.8 设用户设用户Bob登录进入登录进入SELinux系统准备修改其口令，已知系统准备修改其口令，已知shadow口令文件是口令文件是shadow_t类型的文件，类型的文件，passwd_d域拥有域拥有shadow_t修改类型的口令文件所需的访问权限，试给出一个修改类型的口令文件所需的访问权限，试给出一个确确定进程工作域的方案定进程工作域的方案，使负责口令修改的，使负责口令修改的passwd进程有权修改进程有

40、权修改shadow文件中的口令信息。文件中的口令信息。 进程工作域自动切换进程工作域自动切换 A B(exec,auto) A -P(exec) - B(Fb) Exec触发域切换：自动切换和按要求切换触发域切换：自动切换和按要求切换域转换和类型转换域转换和类型转换 域转移运行一个文件，产生一个运行在新域的新进程，类型转移将一域转移运行一个文件，产生一个运行在新域的新进程，类型转移将一个新客体标识为不同于源类型的类型。个新客体标识为不同于源类型的类型。类型转移的语法如下：类型转移的语法如下： type_transition : 域转移语法如下：域转移语法如下：type_transition :

41、 process default_type 类型转移规则定义了不同域文件的类型转移。如果进程显式请求一个类型转移规则定义了不同域文件的类型转移。如果进程显式请求一个特殊上下文，域转移默认时能被覆盖。特殊上下文，域转移默认时能被覆盖。文件的类型转移默认时实际上从父亲继承，即新的文件从它的父目录文件的类型转移默认时实际上从父亲继承，即新的文件从它的父目录继承上下文，除非有一个明确的规则指明它从创建者继承。继承上下文，除非有一个明确的规则指明它从创建者继承。 举例：举例：type_transition httpd_t httpd_sys_script_exec_t:process httpd_sys

42、_script_t;上面的规则表示：当后台进程上面的规则表示：当后台进程httpd以域以域httpd_t运行类型为运行类型为httpd_sys_script_exec_t的文件，如：的文件，如：CGI脚本文件，新的进程（如脚本文件，新的进程（如：CGI脚本进程）将赋为脚本进程）将赋为httpd_sys_script_t域。域。type_transition initrc_t squid_exec_t:process squid_t;上面的规则表示：当域为上面的规则表示：当域为initrc_t的的init进程执行进程执行squid_exec_t类型的类型的文件时，新进程将赋为文件时，新进程将赋为

43、squid_t域。域。 域转换时创建新类型域转换时创建新类型 type_transition : 举例：举例： type_transition named_t var_run_t:sock_file named_var_run_t;上面的规则表示：当在域上面的规则表示：当在域named_t的一个进程在类型为的一个进程在类型为var_run_t的目的目录创建一个录创建一个socket文件时，该文件时，该socket文件被赋予文件被赋予named_var_run_t类类型。型。 例例3.9 假设为使假设为使Bob登录进入登录进入SELinux系统并可以修改其口令，已按照系统并可以修改其口令，已按照

44、例例3.8的方案进行域切换的授权，试给出实现域的自动切换的规则。的方案进行域切换的授权，试给出实现域的自动切换的规则。 log消息格式消息格式 当当SELinux不允许一个操作时，将产生一个给审核不允许一个操作时，将产生一个给审核log的否决消息，的否决消息，log消息一般记录在文件消息一般记录在文件/var/log/messages中。中。下面是一条规则的否决消息格式，显示了当用户在下面是一条规则的否决消息格式，显示了当用户在home目录目录/public_html的网页内容没有得到访问许可时生成的的网页内容没有得到访问许可时生成的AVC否决消息：否决消息：Jan 14 19:10:04 h

45、ostname kernel: audit(1105758604.519:420): /avc: denied getattr for pid=5962 exe=/usr/sbin/httpd /path=/home/auser/public_html dev=hdb2 ino=921135 /scontext=root:system_r:httpd_t /tcontext=user_u:object_r:user_home_t tclass=dir说明：说明：时间戳为时间戳为Jan 14 19:10:04，主机名为，主机名为hostname，kernel: audit(1105758604.

46、519:420)：它是内核审计：它是内核审计log消息的指针，消息的指针，()中第一个数字中第一个数字1105758604是时间戳组成的当前时间的未格式化长整是时间戳组成的当前时间的未格式化长整数，第二个数字数，第二个数字519是毫秒的短整数，第三个数字是毫秒的短整数，第三个数字420是序列数，帮助是序列数，帮助从多个消息进行审核跟踪。从多个消息进行审核跟踪。 avc: denied 表示操作被否决，如果一些操作用规则表示操作被否决，如果一些操作用规则auditallow设置，设置，则它们产生授权的消息。则它们产生授权的消息。 getattr 表示否决或授权的操作，表示否决或授权的操作，中含有

47、实际尝试的操作。中含有实际尝试的操作。 for pid=5962 操作的源应用程序的进程操作的源应用程序的进程ID。 exe=/usr/sbin/httpd 表示被否决的应用程序。表示被否决的应用程序。 path=/home/auser/public_html 操作尝试的目标文件或目录的路径。操作尝试的目标文件或目录的路径。 dev=hdb2 含有这个文件系统的设备切点。否决操作的客体在这个文件含有这个文件系统的设备切点。否决操作的客体在这个文件系统中。系统中。 ino=921135 目标文件或目录的节点号。目标文件或目录的节点号。 scontext=root:system_r:httpd_t

48、 源的安全上下文，即被否决访问的源的安全上下文，即被否决访问的进程。进程。 tcontext=user_u:object_r:user_home_t 目标上下文，即被否决的文目标上下文，即被否决的文件或目录。件或目录。 tclass=dir 目标的类别，指示被阻塞的目录是目标的类别，指示被阻塞的目录是/home/auser/public_html/。 LSM模块：模块：SELinux采用采用flask架构，架构，Flask架构用于微内核环架构用于微内核环境，它包括三个主要组件：安全服务器、客体管理器和访问向境，它包括三个主要组件：安全服务器、客体管理器和访问向量缓存。量缓存。 安全服务器用于惊

49、醒策略决定；安全服务器用于惊醒策略决定； 客体管理器负责对他们管理的资源集强制执行安全服务器的策略决定客体管理器负责对他们管理的资源集强制执行安全服务器的策略决定； 访问向量缓存（访问向量缓存（AVC）决定是有安全服务器为后面的访问检查准备的）决定是有安全服务器为后面的访问检查准备的，目的是为了提升访问确认的速度，目的是为了提升访问确认的速度 SELinux安全策略服务器体系结构安全策略服务器体系结构 对于访问控制的决断是通过在内核中安全服务器对对于访问控制的决断是通过在内核中安全服务器对AVC发送请求来进发送请求来进行判断，从而决定是否具有访问内核资源的权限，由于这种访问控制行判断，从而决定

50、是否具有访问内核资源的权限，由于这种访问控制机制可灵活的进行安全策略调配，也可通过安全管理员来随时实施当机制可灵活的进行安全策略调配，也可通过安全管理员来随时实施当前的最新安全策略，因此使得整个前的最新安全策略，因此使得整个SELinux系统可以进行非常灵活的控系统可以进行非常灵活的控制。也存在着一些问题制。也存在着一些问题,如内核负担太重，如内核负担太重，SELinux安全管理员权限依安全管理员权限依然太大，安全策略本身的安全性问题等然太大，安全策略本身的安全性问题等 对原有对原有SELinux策略服务器结构中有内核所处理的所有安全策略进行严策略服务器结构中有内核所处理的所有安全策略进行严格