SELINUX的研究與改進.pdf

1、人類社會正邁向一個高度信息化、數(shù)字化的時代。在這種形勢下,大量的信息被數(shù)字化并由信息系統(tǒng)統(tǒng)一維護和管理。隨著信息系統(tǒng)的不斷完善,信息系統(tǒng)管理著越來越多重要的數(shù)據(jù),信息系統(tǒng)的安全性已成為信息系統(tǒng)設(shè)計中十分重要的問題。由于操作系統(tǒng)處于信息系統(tǒng)最底層,具有基礎(chǔ)和核心地位,操作系統(tǒng)的安全成為了整個信息系統(tǒng)安全的前提和根本保證,因此對操作系統(tǒng)層級的安全機制的研究是十分必要的。
　　 信息系統(tǒng)安全的重要內(nèi)容是保證系統(tǒng)中數(shù)據(jù)的安全,而數(shù)據(jù)的安

2、全性可通過存取訪問控制來實現(xiàn)。目前,Linux操作系統(tǒng)以其優(yōu)越、穩(wěn)定的系統(tǒng)性能贏得了越來越多用戶的青睞。面對不斷提升的安全需求,Linux操作系統(tǒng)的存取訪問控制機制也在不斷發(fā)展和完善。例如,最新的Linux2.6內(nèi)核中集成了支持強制訪問控制的SELinux安全子系統(tǒng)用于滿足高等級安全需求。但是這些機制仍存在許多不足之處。
　　 本文首先介紹和詳細分析了SELinux強制訪問控制機制相關(guān)方面的內(nèi)容(主要包括操作系統(tǒng)的安全體系結(jié)構(gòu)和

3、安全模型,SELinux介紹、SELinux訪問控制機制和SELinux中安全服務(wù)器的實現(xiàn)等)。
　　 同時,一個安全操作系統(tǒng)的審計子系統(tǒng)需要對系統(tǒng)中的安全相關(guān)活動進行記錄、檢查和審核,從底層的具體操作抽象出用戶行為意圖。它的主要目的是檢測和制止非法用戶對信息系統(tǒng)的入侵,并顯示合法用戶的誤操作及記錄系統(tǒng)出現(xiàn)錯誤前的狀態(tài)。內(nèi)核是與硬件接觸最緊密的操作系統(tǒng)構(gòu)件,將審計系統(tǒng)置于內(nèi)核之中能直接從底層得到原始的審計數(shù)據(jù)。在此基礎(chǔ)上,主要進

4、行了如下工作:
　　 1.將Linux用戶進行歸類,將用戶分類的概念引入SELinux,對SELinux的用戶管理進行了改進與實現(xiàn)。解決了SELinux中用戶間分配相同角色集的分配方式不靈活及用戶在不同角色集之間的轉(zhuǎn)渙方式不靈活且容易產(chǎn)生不安全因素的問題。
　　 2.深入研究了SELinux的強制訪問控制機制和訪問控制策略,提出了一套利用SELinux的訪問控制機制和策略來加強審計系統(tǒng)自身安全的辦法。綜合應(yīng)用安全審計理論