第9讲强制访问控制模型TE-信息安全研究室.PPTVIP

第9讲强制访问控制模型TE 第5章：操作系统的增强安全性 第1部分/共2部分 本讲内容 主题：强制访问控制模型TE 教材内容： 第5.1节：TE模型与DTE模型 第5.2节：SELinux实现的TE模型 TE与DTE模型的发展背景 1985 W.E. Boebert和R.Y. Kain提出TE模型（ Type Enforcement）。 为Secure Ada Target系统之所需。 Secure Ada Target更名为LOCK（Logical Coprocessing Kernel）。 1991 R. O‘Brien和C. Rogers为LOCK系统拓展TE模型。 1994 L. Badger和D.F. Sterne将TE改进为DTE。 1995 L. Badger等在UNIX中实现DTE。 21世纪 实施到Linux中，并产生广泛影响。 TE模型的基本思想 域相互作用表 -- DIT DIT -- Domain Interaction Table 行 列 ? 域 行与列交叉点的元素：行域对列域的访问权限： 发信号、创建进程、杀死进程 例： 进程Px -- 域Di，进程Py -- 域Dj 进程Px可否向进程Py发信号？ Aij -- 发信号? 用TE模型实现应用隔离 TE模型存在的问题 访问控制权限配置复杂 应用较多、进程较多、文件数较大时 二维表结构无法反映系统的内在结构 目录与子目录、父进程与子进程？ 控制策略的定义需要从零开始 访问控制框架 √ 访问控制规则 ？ DTE模型的思想与特点 策略描述语言 -- DTEL -- DTE Language 类型描述 类型赋值 域描述 初始域设定 文件安全属性的隐含方式表示 客体的内在层次结构 递归赋值：如果没有显式的给文件系统中的一个客体赋类型值，那么，该客体的类型值与其父目录的类型值相同。 类型描述与赋值 例：类型的描述 例：类型的赋值 域的入口点 域的入口点：可执行程序；执行域A的入口点程序可以使执行者进入到域A中。 域B 域A 入口点程序Pb 域描述 例：域描述 访问权限： r -- 读 w -- 写 x -- 执行 d -- 搜索（目录） 初始域设定 例：系统域描述和初始域设定 在进程派生过程中，子进程继承父进程的工作域： 子进程在父进程所在的域中运行。 SELinux实现的TE模型 SELinux -- Security Enhanced Linux NSA --开放源代码 访问控制模型的核心 -- DTE模型 -- TE模型 SETE -- SELinux Type Enforcement 安全策略配置语言 SEPL -- SELinux Policy Language DTEL SETE模型的特点 类型的细分 增加客体类别概念 普通文件、目录、进程、套接字、文件系统 权限的细化 file类别：read、write、execute、getattr、create dir类别：read、write、search、rmdir process类别：signal、transition、fork、getattr socket类别：bind、listen、connect、accept filesystem类别：mount、unmount 域 类型 ? 类型 域：域类型、主体类型 SETE模型的访问授权规则 allow规则 例： 修改口令方法的危险及其消除 已知Linux中/etc/shadow文件和passwd程序的部分权限信息如下所示，请说明passwd程序为普通用户修改口令的方法及其不足，如何利用SETE模型的访问控制克服该不足？ 口令修改过程中的域问题 设用户BOB登录进入SELinux系统后欲修改其口令，试分析与该过程有关的进程可能涉及到的域的情况，以及可能遇到的访问权限问题。 口令修改过程中的进程有效身份 设用户BOB登录进入Linux系统后欲修改其口令，试分析该过程通过改变进程的有效身份以获得访问shadow口令文件的权限的方法。 口令修改过程中的域切换（问） 设用户BOB登录进入SELinux系统后欲修改其口令，已知shadow口