信息网络安全 ›› 2015, Vol. 15 ›› Issue (12): 34-41.doi: 10.3969/j.issn.1671-1122.2015.12.006

• 技术研究 • 上一篇    下一篇

基于SELinux强制访问控制的进程权限控制技术研究与实现

张涛1, 张勇2(), 宁戈3, 陈钟1   

  1. 1.北京大学信息科学技术学院,北京100871
    2.信息网络安全公安部重点实验室,上海201204
    3.中国信息安全测评中心,北京100085
  • 收稿日期:2015-10-27 出版日期:2015-12-20 发布日期:2016-01-04
  • 作者简介:

    作者简介: 张涛(1987—),男,江西,博士研究生,主要研究方向为系统与网络安全、软件安全漏洞分析;张勇(1977—),男,云南,助理研究员,博士,主要研究方向为信息安全和电子数据取证;宁戈(1988—),男,山西,硕士,主要研究方向为系统与网路安全、漏洞分析及利用技术;陈钟(1963—),男,江苏,教授,博士,主要研究方向为系统与网络安全、密码学。

  • 基金资助:
    国家自然科学基金[61170263]

Research and Implementation on Process Access Control Based on SELinux Mandatory Access Control

ZHANG Tao1, ZHANG Yong2(), NING Ge3, CHEN Zhong1   

  1. 1. School of Electronics Engineering & Computer Sciences, Peking University, Beijing 100871,China
    2. Key Lab of Information Newwork Security of Ministry of Public Security, Shanghai 201204,China
    3.China Information Technology Security Evaluation Center, Beijing 100085,China
  • Received:2015-10-27 Online:2015-12-20 Published:2016-01-04

摘要:

针对云主机常用的Linux服务器系统屡屡出现因为常用服务或进程的自身漏洞被利用而导致系统控制权轻易丢失的问题,文章提出了一种基于SELinux强制访问控制的进程权限控制系统(PBACS),可对系统内的文件、进程及服务等进行细粒度的访问权限控制,能有效缓解由于常见系统服务漏洞导致的安全威胁,具有较高的安全性和先进性。文章对PBACS进行了全面的功能测试和性能测试,测试结果表明PBACS完全达到了设计要求,可以在系统进程层面提供更细的访问控制颗粒度。该方案能够广泛应用到云主机环境下Linux服务器系统的安全加固场景中。

关键词: 进程权限控制, SELinux, 强制访问控制, TE模型, 系统提权

Abstract:

In face of the problem that the vulnerabilities of the common service or process in the Linux system are used to cause the system control to be easily lost, the paper proposes a process access control based on SELinux mandatory access control (PBACS), which can do fine-grained access control for files, processes and services, and can effectively mitigate security threats that caused by the vulnerabilities of system services, thus makes the server system more secure. The paper gives functional test and performance test on PBACS. Test result shows that PBACS meets design requirements, and can provide lower access control granularity in system process level. PBACS can be widely applied to reinforce Linux server system.

Key words: process access control, SELinux, mandatory access control, TE model, privilege escalation

中图分类号: