基于SELinux强制访问控制的进程权限控制技术研究与实现

doi:10.3969/j.issn.1671-1122.2015.12.006

信息网络安全 ›› 2015, Vol. 26 ›› Issue (12): 34-41.doi: 10.3969/j.issn.1671-1122.2015.12.006

• • 上一篇

基于SELinux强制访问控制的进程权限控制技术研究与实现

张涛¹, 张勇²(), 宁戈³, 陈钟¹

1.北京大学信息科学技术学院,北京100871
2.信息网络安全公安部重点实验室,上海201204
3.中国信息安全测评中心,北京100085

收稿日期:2015-10-27 出版日期:2015-12-20 发布日期:2016-01-04
作者简介:
作者简介：张涛（1987—）,男,江西,博士研究生,主要研究方向为系统与网络安全、软件安全漏洞分析;张勇（1977—）,男,云南,助理研究员,博士,主要研究方向为信息安全和电子数据取证;宁戈（1988—）,男,山西,硕士,主要研究方向为系统与网路安全、漏洞分析及利用技术;陈钟（1963—）,男,江苏,教授,博士,主要研究方向为系统与网络安全、密码学。
基金资助:
国家自然科学基金[61170263]

Research and Implementation on Process Access Control Based on SELinux Mandatory Access Control

Tao ZHANG¹, Yong ZHANG²(), Ge NING³, Zhong CHEN¹

1. School of Electronics Engineering & Computer Sciences, Peking University, Beijing 100871,China
2. Key Lab of Information Newwork Security of Ministry of Public Security, Shanghai 201204,China
3.China Information Technology Security Evaluation Center, Beijing 100085,China

Received:2015-10-27 Online:2015-12-20 Published:2016-01-04

摘要/Abstract

摘要：

针对云主机常用的Linux服务器系统屡屡出现因为常用服务或进程的自身漏洞被利用而导致系统控制权轻易丢失的问题,文章提出了一种基于SELinux强制访问控制的进程权限控制系统（PBACS）,可对系统内的文件、进程及服务等进行细粒度的访问权限控制,能有效缓解由于常见系统服务漏洞导致的安全威胁,具有较高的安全性和先进性。文章对PBACS进行了全面的功能测试和性能测试,测试结果表明PBACS完全达到了设计要求,可以在系统进程层面提供更细的访问控制颗粒度。该方案能够广泛应用到云主机环境下Linux服务器系统的安全加固场景中。

关键词: 进程权限控制, SELinux, 强制访问控制, TE模型, 系统提权

Abstract:

In face of the problem that the vulnerabilities of the common service or process in the Linux system are used to cause the system control to be easily lost, the paper proposes a process access control based on SELinux mandatory access control (PBACS), which can do fine-grained access control for files, processes and services, and can effectively mitigate security threats that caused by the vulnerabilities of system services, thus makes the server system more secure. The paper gives functional test and performance test on PBACS. Test result shows that PBACS meets design requirements, and can provide lower access control granularity in system process level. PBACS can be widely applied to reinforce Linux server system.

Key words: process access control, SELinux, mandatory access control, TE model, privilege escalation

中图分类号:

TP309

张涛, 张勇, 宁戈, 陈钟. 基于SELinux强制访问控制的进程权限控制技术研究与实现[J]. 信息网络安全, 2015, 26(12): 34-41.

Tao ZHANG, Yong ZHANG, Ge NING, Zhong CHEN. Research and Implementation on Process Access Control Based on SELinux Mandatory Access Control[J]. Netinfo Security, 2015, 26(12): 34-41.

图/表 10

图1

图2

图3

图4

图5

图6

图7

表1

表2

表3

参考文献 19

[1]	安天实验室安全研究中心.破壳漏洞(CVE-2014-6271)综合分析[EB/OL]. .
[2]	胡冠宇, 杨明. Linux服务器安全问题的分析与研究[J]. 软件工程师, 2014, 17(8):7-9.
[3]	叶嘉羲,张权,王剑. 基于权限控制和脚本检测的Webview漏洞防护方案研究[J]. 信息网络安全,2015(3):38-43.
[4]	李耀东. Linux操作系统存取访问控制机制的研究[D].北京:北京交通大学, 2008.
[5]	蒋发群, 李艳波. Linux访问控制安全测评[J]. 信息安全与技术, 2010(9):103-106.
[6]	李燕萍, 丁其鹏. SELinux在网络服务安全中的研究与分析[J]. 现代计算机, 2014, 18(10):32-34.
[7]	肖永康, 纪翠玲, 谢宝恂,等. SELinux的安全机制和安全模型[J]. 计算机应用, 2009, 35(29):66-68.
[8]	王静. SELinux的访问控制模型的分析与研究[J]. 计算机安全, 2008(11):39-42.
[9]	Red Hat, Inc. Red Hat Enterprise Linux 6 Security-Enhanced Linux [EB/OL]. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Security-Enhanced_Linux/index.html#mls, 2015-3-5.
[10]	LOSCOCCO P, SMALLEY S. Meeting Critical Security Objectives with Security-Enhanced Linux [EB/OL].https://www.nsa.gov/research/_files/selinux/papers/ottawa01/index.shtml, 2015- 3-5.
[11]	FRANK M, KARL M, DACID C. SELinux by Example Using Security Enhanced Linux[EB/OL]. .
[12]	张涛,牛伟颖,孟正,等. 基于Windows内核模式下进程监控的用户权限控制系统设计与实现[J]. 信息网络安全,2014(4):13-19.
[13]	林尧. 基于LSM的改进型Linux入侵检测系统[D]. 大连:大连理工大学, 2011.
[14]	杨春晖,严承华. 基于进程管理的安全策略分析[J]. 信息网络安全,2014(8):61-66.
[15]	黄涛, 方艳湘. 一种基于进程的访问控制模型的研究[J]. 网络安全技术与应用, 2006(7):78-79.
[16]	刘威鹏, 胡俊, 吕辉军, 等. LSM框架下可执行程序的强制访问控制机制[J]. 计算机工程, 2008, 34(7):160-162.
[17]	倪继利. Linux安全体系分析与编程[M]. 北京:电子工业出版社, 2007.
[18]	刘伟, 孙玉芳, 叶以民. 基于角色的访问控制模型在安全操作系统中的实现[D].北京:中国科学院软件研究所, 2003.
[19]	姜华. SELinux中基于角色的访问控制技术研究[D]. 武汉:华中科技大学, 2009.

基于SELinux强制访问控制的进程权限控制技术研究与实现

Research and Implementation on Process Access Control Based on SELinux Mandatory Access Control

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 10

参考文献 19

相关文章 4

编辑推荐

Metrics

本文评价

[1]	池亚平, 姜停停, 戴楚屏, 孙尉. 基于BLP的虚拟机多级安全强制访问控制系统设计与实现[J]. 信息网络安全, 2016, 16(10): 1-7.
[2]	. 基于Windows内核模式下进程监控的用户权限控制系统设计与实现[J]. , 2014, 14(4): 13-.
[3]	陆宝华;李科. 强制访问控制是防范恶意代码的有效手段[J]. , 2011, 11(9): 0-0.
[4]	王卫;王明忠. 基于安全计算环境保障杭州公安外网网站安全[J]. , 2010, (7): 0-0.