Linux安全模塊（LSM）簡介

Linux安全模塊(LSM)是Linux內(nèi)核的一個輕量級通用訪問控制框架。本文介紹Linux安全模塊(LSM)的相關(guān)背景，設(shè)計思想，實現(xiàn)方法;并說明如何使用Linux安全模塊(LSM)來增強Linux系統(tǒng)的安全性：一方面是供內(nèi)核開發(fā)人員和安全研究人員使用的接口，另一方面是供普通用戶使用的模塊，以及具體的使用方法。如果讀者具有Linux內(nèi)核和安全的相關(guān)背景知識，可以有助于對本文的理解;如果不具有，可以先閱讀本文最后參考資料中列出的IBM dW上的三篇文章。

1.相關(guān)背景介紹：為什么和是什么

近年來Linux系統(tǒng)由于其出色的性能和穩(wěn)定性，開放源代碼特性帶來的靈活性和可擴展性，以及較低廉的成本，而受到計算機工業(yè)界的廣泛關(guān)注和應(yīng)用。但在安全性方面，Linux內(nèi)核只提供了經(jīng)典的UNIX自主訪問控制(root用戶，用戶ID，模式位安全機制)，以及部分的支持了POSIX.1e標(biāo)準(zhǔn)草案中的capabilities安全機制，這對于Linux系統(tǒng)的安全性是不足夠的，影響了Linux系統(tǒng)的進一步發(fā)展和更廣泛的應(yīng)用。

有很多安全訪問控制模型和框架已經(jīng)被研究和開發(fā)出來，用以增強Linux系統(tǒng)的安全性，比較知名的有安全增強Linux(SELinux)，域和類型增強(DTE)，以及Linux入侵檢測系統(tǒng)(LIDS)等等。但是由于沒有一個系統(tǒng)能夠獲得統(tǒng)治性的地位而進入Linux內(nèi)核成為標(biāo)準(zhǔn);并且這些系統(tǒng)都大多以各種不同的內(nèi)核補丁的形式提供，使用這些系統(tǒng)需要有編譯和定制內(nèi)核的能力，對于沒有內(nèi)核開發(fā)經(jīng)驗的普通用戶，獲得并使用這些系統(tǒng)是有難度的。在2001年的Linux內(nèi)核峰會上，美國國家安全局(NSA)介紹了他們關(guān)于安全增強Linux(SELinux)的工作，這是一個靈活的訪問控制體系Flask在Linux中的實現(xiàn)，當(dāng)時Linux內(nèi)核的創(chuàng)始人Linus Torvalds同意Linux內(nèi)核確實需要一個通用的安全訪問控制框架，但他指出最好是通過可加載內(nèi)核模塊的方法，這樣可以支持現(xiàn)存的各種不同的安全訪問控制系統(tǒng)。因此，Linux安全模塊(LSM)應(yīng)運而生。

Linux安全模塊(LSM)是Linux內(nèi)核的一個輕量級通用訪問控制框架。它使得各種不同的安全訪問控制模型能夠以Linux可加載內(nèi)核模塊的形式實現(xiàn)出來，用戶可以根據(jù)其需求選擇適合的安全模塊加載到Linux內(nèi)核中，從而大大提高了Linux安全訪問控制機制的靈活性和易用性。目前已經(jīng)有很多著名的增強訪問控制系統(tǒng)移植到Linux安全模塊(LSM)上實現(xiàn)，包括POSIX.1e capabilities，安全增強Linux(SELinux)，域和類型增強(DTE)，以及Linux入侵檢測系統(tǒng)(LIDS)等等。雖然目前Linux安全模塊(LSM)仍然是作為一個Linux內(nèi)核補丁的形式提供，但是其同時提供Linux 2.4穩(wěn)定版本的系列和Linux 2.5開發(fā)版本的系列，并且很有希望進入Linux 2.6穩(wěn)定版本，進而實現(xiàn)其目標(biāo)：被Linux內(nèi)核接受成為Linux內(nèi)核安全機制的標(biāo)準(zhǔn)，在各個Linux發(fā)行版中提供給用戶使用。

2.設(shè)計思想介紹：得讓兩方面都滿意

Linux安全模塊(LSM)的設(shè)計必須盡量滿足兩方面人的要求：讓不需要它的人盡可能少的因此得到麻煩;同時讓需要它的人因此得到有用和高效的功能。

以Linus Torvalds為代表的內(nèi)核開發(fā)人員對Linux安全模塊(LSM)提出了三點要求：

真正的通用，當(dāng)使用一個不同的安全模型的時候，只需要加載一個不同的內(nèi)核模塊

概念上簡單，對Linux內(nèi)核影響最小，高效，并且

能夠支持現(xiàn)存的POSIX.1e capabilities邏輯，作為一個可選的安全模塊

另一方面，各種不同的Linux安全增強系統(tǒng)對Linux安全模塊(LSM)提出的要求是：能夠允許他們以可加載內(nèi)核模塊的形式重新實現(xiàn)其安全功能，并且不會在安全性方面帶來明顯的損失，也不會帶來額外的系統(tǒng)開銷。

為了滿足這些設(shè)計目標(biāo)，Linux安全模塊(LSM)采用了通過在內(nèi)核源代碼中放置鉤子的方法，來仲裁對內(nèi)核內(nèi)部對象進行的訪問，這些對象有：任務(wù)，inode結(jié)點，打開的文件等等。用戶進程執(zhí)行系統(tǒng)調(diào)用，首先游歷Linux內(nèi)核原有的邏輯找到并分配資源，進行錯誤檢查，并經(jīng)過經(jīng)典的UNIX自主訪問控制，恰好就在Linux內(nèi)核試圖對內(nèi)部對象進行訪問之前，一個Linux安全模塊(LSM)的鉤子對安全模塊所必須提供的函數(shù)進行一個調(diào)用，從而對安全模塊提出這樣的問題是否允許訪問執(zhí)行?，安全模塊根據(jù)其安全策略進行決策，作出回答：允許，或者拒絕進而返回一個錯誤。

另一方面，為了滿足大多數(shù)現(xiàn)存Linux安全增強系統(tǒng)的需要，Linux安全模塊(LSM)采取了簡化設(shè)計的決策。Linux安全模塊(LSM)現(xiàn)在主要支持大多數(shù)現(xiàn)存安全增強系統(tǒng)的核心功能：訪問控制;而對一些安全增強系統(tǒng)要求的其他安全功能，比如安全審計，只提供了的少量的支持。Linux安全模塊(LSM)現(xiàn)在主要支持限制型的訪問控制決策：當(dāng)Linux內(nèi)核給予訪問權(quán)限時，Linux安全模塊(LSM)可能會拒絕，而當(dāng)Linux內(nèi)核拒絕訪問時，就直接跳過Linux安全模塊(LSM);而對于相反的允許型的訪問控制決策只提供了少量的支持。對于模塊功能合成，Linux安全模塊(LSM)允許模塊堆棧，但是把主要的工作留給了模塊自身：由第一個加載的模塊進行模塊功能合成的最終決策。所有這些設(shè)計決策可能暫時影響了Linux安全模塊(LSM)的功能和靈活性，但是大大降低了Linux安全模塊(LSM)實現(xiàn)的復(fù)雜性，減少了對Linux內(nèi)核的修改和影響，使得其進入Linux內(nèi)核成為安全機制標(biāo)準(zhǔn)的可能性大大提高;等成為標(biāo)準(zhǔn)后，可以改變決策，增加功能和靈活性。

3.實現(xiàn)方法介紹：對Linux內(nèi)核的修改

Linux安全模塊(LSM)目前作為一個Linux內(nèi)核補丁的形式實現(xiàn)。其本身不提供任何具體的安全策略，而是提供了一個通用的基礎(chǔ)體系給安全模塊，由安全模塊來實現(xiàn)具體的安全策略。其主要在五個方面對Linux內(nèi)核進行了修改：

　　在特定的內(nèi)核數(shù)據(jù)結(jié)構(gòu)中加入了安全域

　　在內(nèi)核源代碼中不同的關(guān)鍵點插入了對安全鉤子函數(shù)的調(diào)用

　　加入了一個通用的安全系統(tǒng)調(diào)用

　　提供了函數(shù)允許內(nèi)核模塊注冊為安全模塊或者注銷

　　將capabilities邏輯的大部分移植為一個可選的安全模塊

下面對這五個方面的修改逐個做簡要的介紹。

安全域是一個void*類型的指針，它使得安全模塊把安全信息和內(nèi)核內(nèi)部對象聯(lián)系起來。下面列出被修改加入了安全域的內(nèi)核數(shù)據(jù)結(jié)構(gòu)，以及各自所代表的內(nèi)核內(nèi)部對象：

　　task_struct結(jié)構(gòu)：代表任務(wù)(進程)

　　linux_binprm結(jié)構(gòu)：代表程序

　　super_block結(jié)構(gòu)：代表文件系統(tǒng)

　　inode結(jié)構(gòu)：代表管道，文件，或者Socket套接字

　　file結(jié)構(gòu)：代表打開的文件

　　sk_buff結(jié)構(gòu)：代表網(wǎng)絡(luò)緩沖區(qū)(包)

　　net_device結(jié)構(gòu)：代表網(wǎng)絡(luò)設(shè)備

　　kern_ipc_perm結(jié)構(gòu)：代表Semaphore信號，共享內(nèi)存段，或者消息隊列

　　msg_msg：代表單個的消息

另外，msg_msg結(jié)構(gòu)，msg_queue結(jié)構(gòu)，shmid_kernel結(jié)構(gòu)被移到include/linux/msg.h和include/linux/shm.h這兩個頭文件中，使得安全模塊可以使用這些定義。

Linux安全模塊(LSM)提供了兩類對安全鉤子函數(shù)的調(diào)用：一類管理內(nèi)核對象的安全域，另一類仲裁對這些內(nèi)核對象的訪問。對安全鉤子函數(shù)的調(diào)用通過鉤子來實現(xiàn)，鉤子是全局表security_ops中的函數(shù)指針，這個全局表的類型是security_operations結(jié)構(gòu)，這個結(jié)構(gòu)定義在include/linux/security.h這個頭文件中，這個結(jié)構(gòu)中包含了按照內(nèi)核對象或內(nèi)核子系統(tǒng)分組的鉤子組成的子結(jié)構(gòu)，以及一些用于系統(tǒng)操作的頂層鉤子。在內(nèi)核源代碼中很容易找到對鉤子函數(shù)的調(diào)用：其前綴是security_ops->。對鉤子函數(shù)的詳細說明留到后面。

Linux安全模塊(LSM)提供了一個通用的安全系統(tǒng)調(diào)用，允許安全模塊為安全相關(guān)的應(yīng)用編寫新的系統(tǒng)調(diào)用，其風(fēng)格類似于原有的Linux系統(tǒng)調(diào)用socketcall()，是一個多路的系統(tǒng)調(diào)用。這個系統(tǒng)調(diào)用為security()，其參數(shù)為(unsigned int id, unsigned int call, unsigned long *args)，其中id代表模塊描述符，call代表調(diào)用描述符，args代表參數(shù)列表。這個系統(tǒng)調(diào)用缺省的提供了一個sys_security()入口函數(shù)：其簡單的以參數(shù)調(diào)用sys_security()鉤子函數(shù)。如果安全模塊不提供新的系統(tǒng)調(diào)用，就可以定義返回-ENOSYS的sys_security()鉤子函數(shù)，但是大多數(shù)安全模塊都可以自己定義這個系統(tǒng)調(diào)用的實現(xiàn)。

在內(nèi)核引導(dǎo)的過程中，Linux安全模塊(LSM)框架被初始化為一系列的虛擬鉤子函數(shù)，以實現(xiàn)傳統(tǒng)的UNIX超級用戶機制。當(dāng)加載一個安全模塊時，必須使用register_security()函數(shù)向Linux安全模塊(LSM)框架注冊這個安全模塊：這個函數(shù)將設(shè)置全局表security_ops，使其指向這個安全模塊的鉤子函數(shù)指針，從而使內(nèi)核向這個安全模塊詢問訪問控制決策。一旦一個安全模塊被加載，就成為系統(tǒng)的安全策略決策中心，而不會被后面的register_security()函數(shù)覆蓋，直到這個安全模塊被使用unregister_security()函數(shù)向框架注銷：這簡單的將鉤子函數(shù)替換為缺省值，系統(tǒng)回到UNIX超級用戶機制。另外，Linux安全模塊(LSM)框架還提供了函數(shù)mod_reg_security()和函數(shù)mod_unreg_security()，使其后的安全模塊可以向已經(jīng)第一個注冊的主模塊注冊和注銷，但其策略實現(xiàn)由主模塊決定：是提供某種策略來實現(xiàn)模塊堆棧從而支持模塊功能合成，還是簡單的返回錯誤值以忽略其后的安全模塊。這些函數(shù)都提供在內(nèi)核源代碼文件security/security.c中。
linux操作系統(tǒng)文章專題:linux操作系統(tǒng)詳解（linux不再難懂）