安全需求与安全策略.ppt

以下规则决定文件的类型 如果存在一条规则将etype赋给一个文件，则使用该规则；若不存在，但存在一条规则将rtype赋值给这个文件的etype，则使用该规则；若还不存在，则继承父目录的utype得到etype 如果存在一条规则将utype赋给一个文件，则使用该规则；若不存在，但存在一条规则将rtype赋值给这个文件的utype，则使用该规则；若还不存在，则继承父目录的utype得到utype 如果存在一条规则将rtype赋给一个晚间，则使用该规则；若不存在，则rtype为空 域的转化 自动转化： 每当执行execve系统调用时，必须检查被执行文件是否为当前域能自动访问的目标域的入口点，如果是就进行域转化 自愿转化： 若被执行的文件是当前域能exec访问的目标域的入口点，而进程有要求进行这个域转化，那么域转化发生 空的域转化： 域没有发生变化 DTE策略文件 由4个部分组成 列举出所有的域和型 给出所有域的详细定义 对于每个域，说明它的名字、入口点文件、可允许的访问、可允许的域转化、可允许发送给其他域的进程的信号 指定文件系统根及其的缺省类型，并指定一个初始域 列出型分配规则 DTE的语言：DTEL 在引导装入程序时，从文件/dte/dte.conf中读出DTE策略 DTE的管理就是对这个文件进行编辑。 系统必须重新引导，更改才能生效。 3.5.1 域的划分 DTE策略把所有的进程分为如下7个域 守护进程域 daemon_d (/sbin/init):init进程；init进程创建的其他进程都在daemon_d域中 (auto-login_d, trusted_d):直到某个进程调用login_d域的入口程序login，或者调用trusted_d域的入口程序fsck，syslogd等 (rxd- sysbin_t):不能修改系统二进制文件 没有wx组合：不能够生成一个随后可执行的程序 (rd-base_t, conf_t) base_t缺省的赋给根（递归） conf_t赋给/etc及其下所有文件 可信域 trusted_d 入口文件：/sbin/{fsck, mount_mfs};/usr/sbin/syslogd trusted_d不再转化到其他域 能rwd型syslog_t和disk_t syslog_t赋给系统审计日志文件/usr/var/log, /usr/var/run/{syslog.pid, utmp} disk_t赋给磁盘设备特殊文件/dev/{rsd0a, rsd0b, rsd0g, rsd0h, sd0a, sd0b, sd0g, sd0h} 只有trusted_d和admin_d才能写访问这两个类型 只能(rd-base_t, conf_t) 注册域 login_d 入口文件 /usr/bin/dtelogin 在daemon_d、user_d、system_d、admin_d调用dtelogin的时候，都会自动转入login_d域中 只有通过login_d域，才能按要求转入user_d、system_d、admin_d中，这是不可绕过的 只有dtelogin能运行在login_t中，但不能调用其他任意二进制文件，除非是转入其他域的人口文件 rd-base_t, conf_t, secpolicy_t, syslog_t, secpolicy_log_t, ciper_t 其中，secpolicy_t赋给/dte及其下所有文件 ciper_t赋给目录/etc下的master.passwd, spwd.db, pwd.db, passwd和其他与认证相关的文件 可以写访问usr_log_t的文件，即/usr/var/log下的wtmp和lastlog 其他域均不能访问usr_log_t DTE对login的扩展和增强： 注册时，用户提出角色和域要求。认证后按要求进行域转换 常规认证和角色认证库分别是conf_t和secpolicy_t，DTE策略严格控制这两个类型的文件，以免未授权的修改 用户域 user_d 入口文件，各种shell程序，/bin/{ash, bash, csh, sh, tcsh} 转入user_d的方式： Login时，用户提出普通角色要求，并认证通过 admin_d时，提出转化要求 能转入network_appli_d和login_d 能rd所有类型的文件 能x类型sysbin_t, base_t, user_t user_t: /home及其下的所有文件 等等 系统操作用户域 system_d 入口文件，各种shell程序 5中管理员角色都进入这个域 系统管理员 安全管理员 审计管理员 网络管理员 可以进入network_apli_d、login_d、