第9讲强制访问控制模型TE课件.ppt

2009 电子工业出版社,第1/24页,本讲内容,主题：强制访问控制模型TE教材内容：第5.1节：TE模型与DTE模型第5.2节：SELinux实现的TE模型, 2009 电子工业出版社,第2/24页,TE与DTE模型的发展背景,1985W.E. Boebert和R.Y. Kain提出TE模型（ Type Enforcement）。为Secure Ada Target系统之所需。Secure Ada Target更名为LOCK（Logical Coprocessing Kernel）。1991R. OBrien和C. Rogers为LOCK系统拓展TE模型。1994L. Badger和D.F. Sterne将TE改进为DTE。1995L. Badger等在UNIX中实现DTE。21世纪实施到Linux中，并产生广泛影响。, 2009 电子工业出版社,第3/24页,TE模型的基本思想, 2009 电子工业出版社,第4/24页,域相互作用表 - DIT,DIT - Domain Interaction Table行 & 列 域行与列交叉点的元素：行域对列域的访问权限：发信号、创建进程、杀死进程例：进程Px - 域Di，进程Py - 域Dj进程Px可否向进程Py发信号？Aij - 发信号?, 2009 电子工业出版社,第5/24页,用TE模型实现应用隔离, 2009 电子工业出版社,第6/24页,TE模型存在的问题,访问控制权限配置复杂应用较多、进程较多、文件数较大时二维表结构无法反映系统的内在结构目录与子目录、父进程与子进程？控制策略的定义需要从零开始访问控制框架 访问控制规则 ？, 2009 电子工业出版社,第7/24页,DTE模型的思想与特点,策略描述语言 - DTEL - DTE Language类型描述类型赋值域描述初始域设定文件安全属性的隐含方式表示客体的内在层次结构递归赋值：如果没有显式的给文件系统中的一个客体赋类型值，那么，该客体的类型值与其父目录的类型值相同。, 2009 电子工业出版社,第8/24页,类型描述与赋值,例：类型的描述例：类型的赋值, 2009 电子工业出版社,第9/24页,域的入口点,域的入口点：可执行程序；执行域A的入口点程序可以使执行者进入到域A中。 域B 域A 入口点程序Pb,exec：需执行域切换操作；auto：无需执行域切换操作。, 2009 电子工业出版社,第10/24页,域描述,例：域描述访问权限：r - 读w - 写x - 执行d - 搜索（目录）, 2009 电子工业出版社,第11/24页,初始域设定,例：系统域描述和初始域设定在进程派生过程中，子进程继承父进程的工作域：子进程在父进程所在的域中运行。, 2009 电子工业出版社,第12/24页,SELinux实现的TE模型,SELinux - Security Enhanced LinuxNSA -开放源代码访问控制模型的核心 - DTE模型 - TE模型SETE - SELinux Type Enforcement安全策略配置语言SEPL - SELinux Policy LanguageDTEL, 2009 电子工业出版社,第13/24页,SETE模型的特点,类型的细分增加客体类别概念普通文件、目录、进程、套接字、文件系统权限的细化file类别：read、write、execute、getattr、createdir类别：read、write、search、rmdirprocess类别：signal、transition、fork、getattrsocket类别：bind、listen、connect、acceptfilesystem类别：mount、unmount域 & 类型 类型域：域类型、主体类型, 2009 电子工业出版社,第14/24页,SETE模型的访问授权规则,allow规则例：, 2009 电子工业出版社,第15/24页,修改口令方法的危险及其消除,已知Linux中/etc/shadow文件和passwd程序的部分权限信息如下所示，请说明passwd程序为普通用户修改口令的方法及其不足，如何利用SETE模型的访问控制克服该不足？, 2009 电子工业出版社,第16/24页,口令修改过程中的域问题,设用户BOB登录进入SELinux系统后欲修改其口令，试分析与该过程有关的进程可能涉及到的域的情况，以及可能遇到的访问权限问题。, 2009 电子工业出版社,第17/24页,口令修改过程中的进程有效身份,设用户BOB登录进入Linux系统后欲修改其口令，试分析该过程通过改变进程的有效身份以获得访问shadow口令文件的权限的方法。, 2009 电子工业出版社,第18/24页,口令修改过程中的域切换（问）,设用户BOB登录进入SELinux系统后欲修改其口令，已知shadow口令文件是shadow_t类型的文件，passwd_d域拥有修改shadow_t类型的口令文件所需要的访问权限，试给出一个确定进程工作域的方案，使得负责口令修改的passwd进程有权修改shadow文件中的口令信息。, 2009 电子工业出版社,第19/24页,口令修改过程中的域切换（答）, 2009 电子工业出版社,第20/24页,SETE模型切换工作域的条件,同时具备以下三个条件：进程的新的工作域必须拥有对可执行文件的类型的entrypoint访问权限；进程的旧的工作域必须拥有对入口点程序的类型的execute访问权限；进程的旧的工作域必须拥有对进程的新的工作域的transition访问权限。,allow user_d passwd_exec_t: filegetattr executeallow passwd_d passwd_exec_t: file entrypointallow user_d passwd_d: process transition, 2009 电子工业出版社,第21/24页,进程工作域的自动切换,切换规则：type_transition source_type target_type : process default_type;, 2009 电子工业出版社,第22/24页,进程工作域的自动切换,切换规则：type_transition source_type target_type : process default_type;例： type_transition user_d passwd_exec_t : process passwd_d;,在此域运行的进程,执行此类型的入口点程序,自动切换到该域, 2009 电子工业出版社,第23/24页,问题？,