Security Access Control Strategy && Method And Technology Research - 安全访问控制策略及其方法技术研究

1. 访问控制基本概念

访问控制是网络安全防范和客户端安全防御的重要基础策略,它的主要任务是保证资源不被非法使用、保证网络/客户端安全最重要的核心策略之一。

访问控制包括

  • 入网访问控制
  • 网络权限控制
  • 目录级控制
  • 属性控制等多种手段

访问控制相关领域知识是CISSP的重要章节,本文将重点讨论访问控制模型及其相关的方法和技术。

0x1: 访问控制概念组成元素

访问控制涉及到三个基本概念

  • 主体:代表一个主动的实体,主体可以访问客体,它包括
    • 用户
    • 用户组
    • 终端
    • 主机
    • 应用
  • 客体:代表一个被动的实体,对客体的访问要受控。它可以是
    • 字节
    • 字段
    • 记录
    • 程序
    • 文件
    • 处理器
    • 存贮器
    • 网络接点等
  • 访问授权:指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的,对用户的访问授权是由系统的安全策略决定的。例如
    • 读写:读写客体是直接进行的
    • 执行:执行是搜索文件、执行文件

在—个访问控制系统中,区别主体与客体很重要。首先由主体发起访问客体的操作,该操作根据系统的授权或被允许或被拒绝。

另外,主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成为了客体。

0x2:访问权限控制分类

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。

1. 入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤:

  • 用户名的识别与验证:用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份
  • 用户口令的识别与验证:对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密
  • 用户账号的缺省限制检查:网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式,三道关卡中只要任何一关未过,该用户便不能进入该网络

2. 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。

对目录和文件的访问权限一般有八种

  • 系统管理员权限(最高root权限)
  • 读权限
  • 写权限
  • 创建权限
  • 删除权限
  • 修改权限
  • 文件查找权限
  • 访问控制权限

一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。

3. 属性安全控制

网络系统管理员应给文件、目录等指定访问属性。

属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,描述用户对网络资源的访问能力。

属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限

  • 向某个文件写数据
  • 拷贝一个文件
  • 删除目录或文件
  • 查看目录和文件
  • 执行文件
  • 隐含文件
  • 共享
  • 系统属性等 

4. 服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。

网络服务器的安全控制包括

  • 设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据
  • 设定服务器登录时间限制、非法访问者检测和关闭的时间间隔

Relevant Link:

http://www.baike.com/wiki/%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6
http://staff.ustc.edu.cn/~sycheng/cs/lectures/chap08_Bell-LaPadula_Model.pdf

 

2. 访问控制策略模型(Access Control Model)

访问控制模型(Access Control Model)描述了主体访问客体的一种框架,它通过访问控制技术和安全机制来实现模型的规则和目标。

主要的访问控制模型有以下几种,

  • 自主访问控制(Discretionary Access Control DAC)
  • 强制访问控制(Mandatory Access Control MAC)
  • 基于角色的访问控制(Ro1e-Based Access Control RBAC)
  • Bell-Lapadula安全模型
  • Biba安全模型

每一种模型都采用不同的方法来控制主体如何访问客体,都有其优缺点。

这些模型内置在不同操作系统核心或内核,以及为操作系统提供支持的应用程序中。

对于每一个访问尝试,在主体能够与客体进行通信之前,安全内核会对访问控制模型的规则进行审核,以决定是否允许该访问请求。

我们接下来分别讨论它们。

0x1. 自主访问控制(Discretionary Access Control DAC)

如果用户创建了一个文件,则他是这个文件的拥有者,文件头中包含了用户的标识符,该用户可以决定将所有权也可以赋予哪些特定的个体。

使用自主型访问控制(discretionary access control dac)的系统,可以让资源的拥有者指定哪些主体可以访问该资源,是从资源自身的角度出发的,故称为"自主型",对访问的控制是由资源拥有者自主决定的。

DAC模型中最常见的实现方式是访问控制列表(ACL),这个列表由客体的所有者设定,由操作系统强制实施。我们使用的大多数操作系统都是基于自主型访问控制模型的,都是用ACL实现DAC模型的实例。

DAC可适用于目录树结构及其包含的文件,计算机领域采用的访问权限包括(在Linux、windows上的具体实现中会有微小差别):

  • 不能访问
  • 读(r)
  • 写(w)
  • 执行(x)
  • 删除(d)
  • 更改(c)
  • 完全控制

DAC系统根据主体的身份来许可或拒绝访问,身份可以为用户身份或组成员。

0x2. 强制访问控制(Mandatory Access Control MAC)

在强制型访问(mandatory access control mac)模型中,用户和数据的所有者不能决定谁能访问这些文件的权利,这应该是由操作系统最后做出的决定,并且可能会覆盖用户的设置,这种模型更为结构化并更加严格,一般基于"安全标签系统"来实现。

用户被赋予一个安全级别(秘密、机密、绝密等),并且数据被分成了多个类别,这种级别和分类存储在资源的安全标签中。
分类标签被绑定到某个主体或客体上,当系统接到一个客体访问请求时,操作系统根据主体的安全级别和客体的安全类别来作出决策。

主体如何访问数据的规则由管理层制定、配置、管理,由操作系统来进行实施,由安全技术支持。
安全标签和各个客体附在一起,原则上每一个文件、目录、设备都有其自己的安全标签以及分类信息,一个用户可能具有秘密(secret)的访问级别,他要访问的数据具有绝密(top secret)的安全标签,这种情况下用户会被拒绝访问,因为它的安全级别不等于或低于客体的安全类别。

任何时候,每个主体和客体都必须有一个带有属性的相关联标签,因为这是操作系统访问决定标准的一部分,每个主体和客体并不需要唯一性的标签,但它们在逻辑上必须相互关联,例如服务器上的所有主体和客体可以共享相同的秘密访问许可和分级。
这种模型主要用在信息分类和机密性要求非常高的环境中,例如军队,只有一些专门开发的UNIX系统支持MAC模型,最常见的MAC系统是SELINUX。

0x3. 基于角色的访问控制(Ro1e-Based Access Control RBAC)

基于角色的访问控制(role-based access control rbac)也称作非自主型访问控制,它使用"集中管理"的控制方式来决定主体和客体如何交互。这种模型允许用户基于他所处的角色来访问资源。

RBAC模型是员工流动性较高的组织最适合的访问控制系统,或者进一步说更适合在文件经常变动的文件系统上部署DAC+RBAC模型的ACL检查。

1. 核心RBAC

这个组件将整合到每一个RBAC模型中,因为它是这个模型的基础。用户、角色、许可、操作、会话应根据安全策略进行定义并相互对应

  • 用户与权限之间存在多对多n:n的关系
  • 会话是某个用户与少数几个角色之间的对应关系
  • 提供传统但稳健的基于群组的访问控制

许多用户可能属于多个组,并拥有每个组所享有的各种权限,当用户登录时(这是一个会话),该用户所分配到的各种角色和组将立即对这个用户生效,即获得这些组的权限。
这种模型提供了稳健的选择,因为它在做出访问决策时能够包括其他组件,而不是仅仅根据一组证书做出决策,还可以配置RBAC包含时间、角色位置、星期等方面,这意味着不仅用户ID和证书,其他信息也可用于做出访问决策。

2. 层级RBAC

这个组件允许管理员建立一个组织RBAC模型,将某个环境中的组织结构和功能描述对应起来,形成了一个层次关系。

角色关系定义了用户成员与权限继承,所有层级是其他角色的权限和许可的累加,反映组织结构和功能描述。有两种类型的层级:

  • 有限层级:只允许一个层级(角色1继承角色2的权限,没有其他角色)
  • 普通层级:允许多个层级(角色1同时继承角色2、角色3的许可)

层级是一种划分角色结构并反映结构的授权和责任的自然方法,橘色层级(role hierarchy)定义角色之间的继承关系,这个模型提供两种不同类型的责任分割:

  • RBAC中的静态责任分割(SSD)关系: 这种责任分割通过限制组合各种权限来防止欺诈
  • RBAC中的动态责任分割(SSD)关系: 这种责任分割通过限制各种可在任何会话中激活的权限来防止欺诈

基于角色的访问控制可通过以下方法进行管理

  • 非RBAC方法:用户直接对应用程序对应起来,不使用角色
  • 有限的RBAC方法:用户与多个角色相互对应起来,并直接与其他类型的没有基于角色访问功能的应用对应起来
  • 混合型RBAC:用户与多个应用程序角色对应,仅分配给这些角色选定的权限
  • 完全的RBAC方法:用户与企业角色相互对应

在UNIX/LINUX POSIX标准采用的访问控制管理以DAC模型为基础,它在角色层使用ACL指定访问控制,即DAC+RBAC组合的模式,使用更粗的角色粒度来分配客体(资源)的访问权限

0x4. Bell-Lapadula安全模型

Bell-lapadula是20世纪70年代,美国军方提出的用于解决分时系统的信息安全和保密问题,该模型主要用于防止保密信息被未授权的主体访问。

使用Bell-lapadula模型的系统会对系统的用户(主体)和数据(客体)做相应的安全标记,因此这种系统又被称为多级安全系统(类似MAC模型),级别和模型用于限制主体对客体的访问操作,该模型用于加强访问控制的信息保密性。
Bell-lapadula使用主体,客体,访问操作(读、写、读/写)以及安全级别这些概念,当主体和客体位于不同的安全级别时,主体对客体就存在一定的访问限制。实现该模型后,它能保证信息不被不安全的主体所访问。

Bell-lapadula有三条强制的访问规则

  • 简单安全规则(simple security rule): 简单安全规则表示低安全级别的主体不能从高安全级别客体读取数据
  • 星属性安全规则(star property): 星属性安全规则表示高安全级别的主体不能对低安全级别的客体写数据
  • 强星属性安全规则(strong star property): 强星属性安全规则表示一个主体可以对相同安全级别的客体进行读和写操作

值得注意的是,所有的MAC系统都是基于BELL-LAPADULA模型,因为它允许在代码里面整合多级安全规则,主体和客体会被设置安全级别(在MAC模型中被称为安全标签),当主体试图访问一个客体,系统比较主体和客体的安全级别,然后在模型里检查操作是否合法和安全。

下图是对bell-lapadula模型的简要描述

  • 当安全级别为Secret的主体访问安全级别为Top Secret的客体时,简单安全规则(simple security rule)生效,此时主体对客体可写不可读(no read up)
  • 当安全级别为Secret的主体访问安全级别为Secret的客体时,强星属性安全规则(strong star property)生效,此时主体对客体可写可读
  • 当安全级别为Secret的主体访问安全级别为Confidential的客体时,星属性安全规则( star property)生效,此时主体对客体可读不可写(no write down)

0x5. Biba安全模型

Biba模型是在bell-lapadula模型之后开发的,它跟bell-lapadula模型很相似,被用于解决应用程序数据的完整性问题:

  • Bell-lapadula使用安全级别(top secret、secret、sensitive等),这些安全级别用于保证敏感信息只被授权的个体所访问
  • Biba模型不关心信息保密性的安全级别,因此它的访问控制不是建立在安全级别上,而是建立在完整性级别上

如果布署正确的话,Biba模型能够防止数据从低完整性级别流向高完整性级别。

跟Bell-lapadula一样,Biba模型也有三条规则提供这种保护:

  • 星完整性规则(*-integrity axiom):星完整性规则表示完整性级别低的主体不能对完整性级别高的客体写数据,即破坏高等级的完整性。星完整性规则(*-integrity axiom)强调主体如何修改(写)客体
  • 简单完整性规则(simple integrity axiom):简单完整性规则表示完整性级别高的主体不能从完整性级别低的客体读取数据。简单完整性规则(simple integrity axiom)强调主体如何从客体进行读操作
  • 恳求属性规则(invocation property):恳求属性规则表示一个完整性级别低的主体不能从级别高的客体调用程序或服务
    • 恳求属性完整性规则(invocation property)则强调一个主体如何跟另外一个客体(可以是另外一个主体)进行通信并对其进行初始化,例如:一个主体可以通过它的进程发送一个请求消息调用另外一个客体的执行程序,从而完成某项任务。在Biba模型里,主体只允许去调用低完整性客体的程序或服务,反之则禁止。这就保证低完整性的主体不会去调用某个高完整性客体的清除工具清除该客体的数据
    • 从具体实现来说,Linux中的sudo命令就是一种恳求属性规则的应用

下图是对Biba模型的简要描述

  • 当完整性级别为Medium Integrity的主体访问完整性级别为High Integrity的客体时,星完整性规则(*-integrity axiom)和恳求完整性规则(invocation property)生效,此时主体对客体可读不可写(no write up),也不能调用主体的任何程序和服务;
  • 当完整性级别为Medium Integrity的主体访问完整性级别为Medium Integrity的客体时,此时主体对客体可写可读
  • 当完整性级别为Medium Integrity的主体访问完整性级别为Low Integrity的客体时,简单完整性规则(simple integrity axiom)生效,此时主体对客体可写不可读(no read down)

Relevant Link:

http://wenda.tianya.cn/question/494ef8f320019d38
http://214994.blog.51cto.com/204994/578099

 

3. 访问控制方法、实现技术

一旦一个组织决定了采用什么样的访问控制模型,那么就需要进一步确定能够支持该模型的方法和技术,我们接下来具体讨论访问控制模型对应的实现技术。

我们首先来看一下三种不同的访问控制模型的主要特点:

  • DAC:数据的拥有者决定谁能访问该资源,访问控制列表用于执行安全策略
  • MAC:操作系统通过使用安全标签来执行系统安全策略
  • RBAC:访问决策基于主体的角色和功能的位置

0x1: 基于规则的访问控制

基于规则的访问控制使用特定的规则来规定主体与客体之间可以做什么,不可以做什么。

它基于"如果X则Y"这样简单的编程规则,可以为针对资源本身提供更加细化的访问控制,下面是一个基于规则的例子

电子邮件的附件大小不得大于5MB,这一规则适用于所有用户,并不单独针对某个用户,如果将基于规则改为基于身份,则会造成很大的混乱和冗余
//基于规则的访问控制通过制定一个适用于所有用户的规则,无论它是什么身份,从而简化了规则制定

基于规则的访问控制允许开发者详细定义各种特殊情形,规定在这些情形中,主体是否能够访问客体,以及在访问得到许可后主体能够执行的操作。

基于规则的访问控制典型地用在MAC系统中,作为MAC系统提供的一种复杂访问规则实施机制。

同时,基于规则的访问控制也用在其他类型的系统和应用程序中,例如:

  • 入侵检测、内容过滤:使用"如果-则(if-then)"编程语言,将数据或某种活动与一组规则进行比较
  • 路由器和防火墙:使用规则决定允许或拒绝哪些类型的数据包访问网络

基于规则的访问控制是一种强制型控制,这些规则由管理员制定。

0x2: 限制性的用户接口

限制性的用户接口通过不允许提供提交某些功能、信息、或访问某些系统资源的请求来限制用户的访问能力。

有以下几种典型的限制性接口

  • 菜单和命令
    • 当使用菜单和命令限制时,用户只被给与它们能够执行的命令选项
    • 命令解释器是一个系统的虚拟环境,如果采用了限制性命令,那么命令解释器就只包含管理员希望用户能运行的命令
  • 数据库视图
  • 物理限制接口
    • 物理性的用户接口限制可以在键盘上提供一个特殊的键或在屏幕上提供触摸按钮,ATM提款机就是这种设计思想,这种装置有一个操作系统,他能够接收所有的命令和设置,但是我们在物理上受限不能执行这些功能,我们只能按键来进行提款、查询、结算、存款操作
  • Linux namespace、cgroup隔离
  • Linux chroot隔离
  • WEB系统中根据不同用户身份显示不同的功能界面

0x3: 访问控制矩阵

访问控制矩阵是一个包含有主体和客体的表,它规定每一个主体对每一个客体所能执行的操作,矩阵是一个数据结构,它用于程序员进行表查询以供操作系统进行调用

这种类型的访问控制一般都具有DAC模型的特征,访问权限可以直接分配给主体(访问能力)或客体(访问控制列表),LINUX POSIX ACL典型地就是这种设计思想。

0x4: 访问能力表

访问能力表给出了某些特定的主体对一些确定的客体进行操作的访问权限。

访问能力表和访问控制列表是完全不同的,这是因为主体被绑定在访问能力表中,而客体被绑定在访问控制表中,即它们出发点是不同的

  • 访问控制表:从客体的角度出发
  • 访问能力表:从主体的角度出发

  • 访问能力可以为令牌、票证、或密钥,如果主体提供一个能力组件,操作系统(或应用程序)将审查该能力组件中的访问权限,并只允许主体执行这些功能。能力组件是一种数据结构,其中包含一个唯一客体标识,以及主体对该客体的访问权限
  • 客体可以为文件、数组、内存段、或端口。每一个用户、进程和应用程序在访问能力系统中都有自己的一组能力

一个基于访问能力的系统就是Kerberos,在这个系统中,Kerberos先给用户提供一个票证,这个票证就是一个访问能力表,将这个票证和用户绑定在一起,上面标明了用户可以访问哪些客体以及能够访问到什么程度。

0x5: 访问控制列表(access control list acl)

访问控制列表用于不同的操作系统、应用程序和路由器配置中,它们是一些主体被授权访问一个特定的客体的权限列表,列表定义了授权的程度,授权可以具体到一个个体或组。

访问控制列表给出了访问控制矩阵中和客体有关的内容,其中访问能力表对应的是访问控制矩阵中的行,而访问控制列表是对应的访问控制矩阵中的一列

0x6: 基于内容的访问控制

在基于内容的访问控制中,对客体的访问主要取决于客体的内容,例如snort等NIDS都是基于内容的访问控制。

0x7: 基于情形的访问控制

与基于内容的访问控制不同,基于情形的访问控制根据一组信息的情形,而不是信息本身的敏感性做出访问决定。通过将监控到的行为序列和预定义的规范行为序列进行比较,来判断当前会话是否处于异常状态。

使用基于情形的访问控制的系统先"审计情况"(常常表现为一个行为序列),再做出决定,例如基于状态的防火墙需要了解协议通信的所有步骤,了解一个会话任务的必要步骤,这就是基于情形访问控制的一个实例。

Relevant Link:

《CISSP认证考试指南》

 

4. SELINUX中安全访问控制策略的体现

SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。

SELinux可以允许系统管理员更加灵活的来定义安全策略。SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中,因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。

现在主流发现的Linux版本里面都集成了SELinux机制,CentOS/RHEL都会默认开启SELinux机制。

0x1: SELinux基本概念

我们知道,操作系统的安全机制其实就是对两样东西做出限制:

  • 进程
  • 系统资源(文件、网络套接字、系统调用等)

Linux操作系统是通过用户和组的概念来对我们的系统资源进行限制,我们知道每个进程都需要一个用户才能执行。

在SELinux当中针对这两样东西定义了两个基本概念:

1. 域(domin): 域就是用来对进行进行限制 
我们可以通过 ps -Z 这命令来查看当前进程的域的信息,也就是进程的SELinux信息 
[root@xiaoluo ~]# ps -Z
LABEL                             PID TTY          TIME CMD
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2503 pts/0 00:00:00 su
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2511 pts/0 00:00:00 bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 3503 pts/0 00:00:00 ps

2. 上下文(context): 上下文就是对系统资源进行限制
通过 ls -Z 命令我们可以查看文件上下文信息,也就是文件的SELinux信息 
[root@xiaoluo ~]# ls -Z
-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 Desktop
-rw-r--r--+ root root system_u:object_r:admin_home_t:s0 install.log
-rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log.syslog

0x2: 策略

在SELinux中,我们是通过定义策略来控制哪些域可以访问哪些上下文。

在SELinux中,预置了多种的策略模式,我们通常都不需要自己去定义策略,除非是我们自己需要对一些服务或者程序进行保护。

在CentOS/RHEL中,其默认使用的是目标(target)策略,目标策略定义了只有目标进程受到SELinux限制,非目标进程就不会受到SELinux限制,通常我们的网络应用程序都是目标进程,比如httpd、mysqld,dhcpd等等这些网络应用程序

CentOS的SELinux配置文件是存放在 /etc/sysconfig/ 目录下的 selinux 文件,我们可以查看一下里面的内容

[root@xiaoluo ~]# cat /etc/sysconfig/selinux 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted   // 我们的CentOS使用的策略就是目标策略

0x3: SELinux模式

SELinux的工作模式一共有三种

  • enforcing(强制模式):只要是违反策略的行动都会被禁止,并作为内核信息记录
  • permissive(允许模式):违反策略的行动不会被禁止,但是会提示警告信息
  • disabled(禁用模式):禁用SELinux,与不带SELinux系统是一样的,通常情况下我们在不怎么了解SELinux时,将模式设置成disabled,这样在访问一些网络应用时就不会出问题了

我们可以通过 ls -Z 这个命令来查看我们文件的上下文信息,也就是SELinux信息,我们发现其比传统的 ls 命令多出来了 system_u:object_r:admin_home_t:s0 这个东西,我们现在就来分析一下这段语句所代表的含义

[root@xiaoluo ~]# ls -Z

-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 Desktop
-rw-r--r--+ root root system_u:object_r:admin_home_t:s0 install.log
-rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log.syslog

system_u:object_r:admin_home_t:s0
这条语句通过:划分成了四段,第一段 system_u 代表的是用户,第二段 object_r 表示的是角色,第三段是SELinux中最重要的信息,admin_home 表示的是类型,最后一段 s0 是跟MLS、MCS相关的东西,暂时不需要管
1. system_u: 指的是SElinux用户
    1) root表示root账户身份
    2) user_u表示普通用户无特权用户
    3) system_u表示系统进程
通过用户可以确认身份类型,一般搭配角色使用。身份和不同的角色搭配时有权限不同,虽然可以使用su命令切换用户但对于SElinux的用户并没有发生改变,账户之间切换时此用户身份不变,在targeted策略环境下用户标识没有实质性作用 

2. 客体角色
    1) object_r: object_r一般为文件目录的角色
    2) system_r: 一般为进程的角色,在targeted策略环境中用户的角色一般为system_r
用户的角色类似用户组的概念,不同的角色具有不同的身份权限,一个用户可以具备多个角色,但是同一时间只能使用一个角色。在targeted策略环境下角色没有实质作用,在targeted策略环境中所有的进程文件的角色都是system_r角色 

3. 类型
    1) admin_home: 文件和进程都有一个类型,SElinux依据类型的相关组合来限制存取权限 

SELINUX开启后是一种白名单(非白即黑)的访问控制策略,一旦开启了SELINUX,就需要根据本机的业务场景进行大量配置,否则很可能造成业务中断。

而实际上我们需要的主动防御访问控制策略是一个"黑名单机制"的控制,即明确指定某些进程不能读写哪些路径下的文件

Relevant Link:

http://www.cnblogs.com/xiaoluo501395377/archive/2013/05/26/3100444.html
http://xinghen.blog.51cto.com/1080189/722082
http://www.uml.org.cn/embeded/201304252.asp
http://os.51cto.com/art/201105/265956.htm
http://www.cnblogs.com/zgx/archive/2011/08/31/2160330.html

 

5. 入侵检测体系中安全访问策略的体现

按照安全访问策略的框架体系来看,入侵检测的检测模式可以分为3大类:

  • 基于主体的异常访问检测:例如
    • 一个IP已经被标记为恶意IP,则该IP发起的任何行为(登录、端口访问、应用访问)都会被视为恶意行为,并触发告警
  • 基于客体的异常访问检测:针对某个客体角度进行安全监测,例如
    • ”/etc/passwd“不管被任何进程、任何用户所访问,都应该引起重视,因为这可能意味着一次入侵事件,或者一个敏感信息泄露风险
  • 基于内容的异常访问检测:例如
    • 在网络包中检测到永恒之蓝的rdata特征包,则意味着这次会话是一个恶意行为,不管其来源IP是否在可信的IP白名单中

值得注意的是,这3大类之间又是可以互相传导和转化的,例如:

  • 被标记为恶意的主体(例如IP)之后所触发的后续行为(例如进程启动行为)也可以依照”传递原则“同样被标记为恶意
  • 因为内容被标记为恶意的内容,与其相关的主体和客体也同样可以进行标签传递,相关的源IP可能是一个攻击者IP,相关的客体可能就是一个存在安全风险的应用。
posted @ 2015-06-17 10:17  郑瀚Andrew.Hann  阅读(1247)  评论(0编辑  收藏  举报