SELinux

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Středa Květen 5 18:07:54 CEST 2004


On Wed, 5 May 2004, Milan Keršláger wrote:

> SELinux umoznuje definovat MAC. Standardni Unix pouziva DAC (tj. vse
> vyplyva z UID a GID [...]) [...] MAC umoznuje definovat pravidla
> specificky, tj. kazdy program dostane jen takova prava, jaka nutne
> potrebuje [...]

DAC (Discretionary Access Control) je takovy system rizeni pristupu,
kde kazdy subjekt, ktery ziska pristup k nejakemu objektu, muze tento
pristup zprostredkovat komukoli jinemu (napr. udela verejne citelnou
kopii tajneho souboru).

MAC (Mandatory Access Control) je naopak takovy system rizeni pristupu,
kde je, zhruba receno, s poskytnutim pristupu zaroven vynucovano
dodrzovani stanovenych omezeni (takze napr. jakakoli kopie tajneho
souboru bude zase tajna; uniky pres skryte a postranni kanaly ted
neresim).

Existuji modely MAC, ktere se ridi identitou (takze by to klidne mohl byt
i unixovy uid/gid), a naopak neplati, ze kazde rizeni pristupu, ktere
omezuje pouzitelna pristupova prava jemneji, napr. podle spusteneho
programu, je zaroven MAC.

> Co se tyka X serveru, tak ten pristupuje ke specifickemu HW a tudiz
> pomoci SELinux muzete dosahnout stavu, ze chyba v X serveru povede jen k
> tomu, ze "zly uzivatel" bude moc kreslit po obrazovce a na zbytek
> systemu nebude mit pristup.

Tedy pokud ten "specificky HW" neumoznuje oklikou ziskat plnou kontrolu
nad celym systemem. Napr. za pomoci prakticky libovolneho zarizeni, co umi
bus mastering DMA, lze cist a zapisovat kamkoli do pameti.

Nicmene otazka, zda muze X server ublizit systemu, je jen jedna pulka
problemu. Druha pulka, ktera je diskutovana i v te studii, na kterou se
tady objevil odkaz, je otazka, jak mohou klienti vzajemne interagovat a
kdy jsou ty interakce pripustne a kdy ne (sveho casu jsem videl clanek,
kde autori ve vsi vaznosti navrhovali problem resit tak, ze se pusti
najednou nekolik X serveru pripojenych na virtualni displeje, jeden pro
kazdy "bezpecnostni stupen", a nad nimi bude jeden duveryhodny meta-server
pripojeny uz na skutecny displej, ktery bude ridit rozesilani vstupnich
udalosti a skladani obrazoveho vystupu...dost sila).

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux