Security-Enhanced Linux
Sisällys Yleistä Taustaa Toiminta Tulevaisuus Ongelmat Lähteet
Yleistä NSA:n kehittämä SELinux on patchi joka mahdollistaa tarkemman auditoinnin järjestelmän suorittamien toimenpiteiden suhteen. Integroitu kerneliin ver >
Taustaa SELinuxin Kehitys Ensimmäinen julkaisu v Linux Security Module (LSM) framework v LSM -> Linux 2.5 v. 2002, tuki SELinuxille SELinux -> Linux 2.6 v. 2003
Toiminta MAC (Mandatory Access Control) Menettelytapamoottori (Policy Engine) Roolipohjainen pääsykontrolli (Role Based Access Control) Tyypin mukaan (Type Enforcement)
Toiminta MAC Integroitu kerneliin Sisältää kaikkien prosessien ja objektien turvallisuustiedot Kommunikoi menettelytapamoottorin (Policy Engine) kanssa kun kernelin objektiin otetaan yhteyttä Päättää lopulta pääsyoikeuksista
Toiminta Policy Engine – Role Based Access Control Prosesseilla roolit Domainit joihin eri roolit pääsevät Päätehtävä domainien määrittäminen, ei suoraan jaa pääsyoikeuksia
Toiminta Policy Engine – Type Enforcement Kontrolloi pääsyä domainilta objektiin (domain-to-type) Prosessien väliset yhteydet domainilta domainille Pääsynhallinta domaineihin
Toiminta Kaavio 1.
Toiminta Kaavio 2.
Tulevaisuus Ohjelmien kehittäminen SELinuxille enemmän yhteensopivaksi Rakenteen kehittäminen ja työkalujen parantaminen NFSv4 yhteensopivuuden kehittäminen
Ongelmat Käyttöönotto erittäin työläs Ylläpitäjän täytyy pilkkua viilaten tehdä konfiguraatiot
Lähteet
THE END