Security-Enhanced Linux

1
Security-Enhanced Linux
2
Sisällys

• Yleistä
• Taustaa
• Toiminta
• Tulevaisuus
• Ongelmat
• Lähteet

3
Yleistä

• NSAn kehittämä
• SELinux on patchi joka mahdollistaa tarkemman
  auditoinnin järjestelmän suorittamien
  toimenpiteiden suhteen.
• Integroitu kerneliin ver. 2.6 -gt

4
TaustaaSELinuxin Kehitys
LSM -gt Linux 2.5 v. 2002, tuki SELinuxille
Ensimmäinen julkaisu v. 2000
Linux Security Module (LSM) framework v. 2001
SELinux -gt Linux 2.6 v. 2003
5
Toiminta

• MAC (Mandatory Access Control)
• Menettelytapamoottori (Policy Engine)
• Roolipohjainen pääsykontrolli (Role Based Access
  Control)
• Tyypin mukaan (Type Enforcement)

6
ToimintaMAC

• Integroitu kerneliin
• Sisältää kaikkien prosessien ja objektien
  turvallisuustiedot
• Kommunikoi menettelytapamoottorin (Policy Engine)
  kanssa kun kernelin objektiin otetaan yhteyttä
• Päättää lopulta pääsyoikeuksista

7
ToimintaPolicy Engine Role Based Access Control

• Prosesseilla roolit
• Domainit joihin eri roolit pääsevät
• Päätehtävä domainien määrittäminen, ei suoraan
  jaa pääsyoikeuksia

8
ToimintaPolicy Engine Type Enforcement

• Kontrolloi pääsyä domainilta objektiin
  (domain-to-type)
• Prosessien väliset yhteydet domainilta domainille
• Pääsynhallinta domaineihin

9
ToimintaKaavio 1.
10
ToimintaKaavio 2.
11
Tulevaisuus

• Ohjelmien kehittäminen SELinuxille enemmän
  yhteensopivaksi
• Rakenteen kehittäminen ja työkalujen parantaminen
• NFSv4 yhteensopivuuden kehittäminen

12
Ongelmat

• Käyttöönotto erittäin työläs
• Ylläpitäjän täytyy pilkkua viilaten tehdä
  konfiguraatiot

13
Lähteet

• http//www.nsa.gov/selinux/

14
THE END