精品访问控制 第3章.pptVIP

* MAC特点 强制性 限制性 灵活性差 * * 3.2.1 TE模型 3.2.2 DTE模型 3.2 操作系统的强制访问控制 TE模型(Type Enforcement) 基础：对主体、客体进行分组，定义域和类型。 访问控制属性：为主体定义域标签，为客体定义类型标签 方法：确定具体域对类型拥有的访问权限 二维矩阵实现域定义表DDT * * 例3.1 在上图的域定义表中，设进程Px准备读取文件Fy，请说明判定过程 DDT不表述主体成为客体，主体之间相互作用的访问控制用域相互作用表DIT描述，访问权限有发信号，创建进程，释放进程等 TE模型：使用DDT，DIT控制访问，系统管理员定义域、类型、DDT和DIT。 例3.2 假设在一个OS中需运行Telnet，Web，Email，FTP等多种应用系统，使用TE模型的访问控制方法，给出一个访问控制方案，要求能是各种应用系统相互不干扰工作 为应用定义域和类型 将应用所用文件放入类型 根据需要定义相关权限 达到应用系统隔离 * * TE缺陷 访问控制权限配置复杂 二维表无法反映系统内在结构 控制策略从0开始定义 * * DTE模型(Domain and Type Enforcement) TE的改进版 DTEL：描述安全属性和访问控制配置 使用隐含方式表示文件安全属性 详细参考 DTEL：类型描述，类型赋值，域描述，初始域设定 类型描述 Type unix_t,specs_t,budget_t,rates_t； * * 类型赋值 Rule:如果没有显示的给文件系统中的一个客体赋类型值，那么，该客体的类型值与其父目录的类型值相同 assign –r-s unix_t /; assign –r-s specs_t /subd/specs; assign –r-s budget_t /subd/budget; assign –r-s rates_t /subd/rates; 域描述 主体域，入口点，访问权限(域对域，域对类型) define DEF (/bin/sh),(/bin/csh),(rxd-unix_t) domain engineer_d =DEF,(rwd-specs_t) domain project_d =DEF,(rwd-budget_t),(rd-rates_t) domain accounting_d =DEF,(rd-budget_t),(rwd-rates_t) * * 系统域描述和初始域设定 domain system_d =(/etc/init),(rwxd-unix_t),(auto-login_d) domain login_d =(/bin/login),(rwxd-unix_t), (exec-engineer_d,project_d, accounting_d ) Initial_domain =system_d * * * 3.3.1 SELinux操作系统 3.3.2 SETE模型与DTE模型的区别 3.3.3 SETE模型的访问控制方法 3.3.4 授权进程切换工作域 3.3.5 进程工作域的自动切换 3.3 SELinux实现的TE模型 SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现， Linux最杰出的安全子系统。从fedora core 2开始，2.6内核的版本都支持selinux Linux不足 存在特权用户root：任何人只要得到root的权限，对于整个系统都可以为所欲为。 对于文件的访问权的划分不够细：在linux系统里，对于文件的操作，只有「所有者」,「所有组」,「其他」这３类的划分。 对于「其他」这一类里的用户再细细的划分的话就没有办法了。 SUID程序的权限升级：如果设置了SUID权限的程序有了漏洞的话，很容易被攻击者所利用。 DAC(Discretionary Access Control)问题：文件目录的所有者可以对文件进行所有的操作，这给系统整体的管理带来不便。 对于以上这些的不足，防火墙，入侵检测系统都是无能为力的。 * * SELinux特点 MAC：访问控制彻底化 TE：对进程只赋予最小权限(Access Vector) domain迁移：防止权限提升 RBAC：对用户只赋予最小的权限 * * SETE与DTE的区别 类型的细分(增加客体class ：security process system capability filesystem file dir fd lnk_file chr_file blk_file sock_file fifo_file socket tcp_socke tudp_socket