第9讲强制访问控制模型TE课件

系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第1/24页本讲内容主题：强制访问控制模型TE教材内容：第5.1节：TE模型与DTE模型第5.2节：SELinux实现的TE模型 2009 电子工业出版社第1/24页本讲内容主题：强制访系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第2/24页TE与DTE模型的发展背景1985W.E.Boebert和R.Y.Kain提出TE模型（Type Enforcement）。为Secure Ada Target系统之所需。Secure Ada Target更名为LOCK（Logical Coprocessing Kernel）。1991R.OBrien和C.Rogers为LOCK系统拓展TE模型。1994L.Badger和D.F.Sterne将TE改进为DTE。1995L.Badger等在UNIX中实现DTE。21世纪实施到Linux中，并产生广泛影响。2009 电子工业出版社第2/24页TE与DTE模型的发系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第3/24页TE模型的基本思想域定义表-DDT类型 客体域 主体 2009 电子工业出版社第3/24页TE模型的基本思想域系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第4/24页域相互作用表-DITDIT-Domain Interaction Table行&列 域行与列交叉点的元素：行域对列域的访问权限：发信号、创建进程、杀死进程例：进程Px-域Di，进程Py-域Dj进程Px可否向进程Py发信号？Aij-发信号?2009 电子工业出版社第4/24页域相互作用表-系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第5/24页用TE模型实现应用隔离Web域：web_p_dMail域：mail_p_dFTP域：ftp_p_dWeb类型：web_f_tMail类型：mail_f_tFTP类型：ftp_f_t 2009 电子工业出版社第5/24页用TE模型实现应用隔系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第6/24页TE模型存在的问题访问控制权限配置复杂应用较多、进程较多、文件数较大时二维表结构无法反映系统的内在结构目录与子目录、父进程与子进程？控制策略的定义需要从零开始访问控制框架 访问控制规则？2009 电子工业出版社第6/24页TE模型存在的问题访系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第7/24页DTE模型的思想与特点策略描述语言-DTEL-DTE Language类型描述类型赋值域描述初始域设定文件安全属性的隐含方式表示客体的内在层次结构递归赋值：如果没有显式的给文件系统中的一个客体赋类型值，那么，该客体的类型值与其父目录的类型值相同。2009 电子工业出版社第7/24页DTE模型的思想与特系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第8/24页类型描述与赋值例：类型的描述例：类型的赋值递归赋值 禁止运行时创建与父目录类型不同的客体 2009 电子工业出版社第8/24页类型描述与赋值例：类系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第9/24页域的入口点域的入口点：可执行程序；执行域A的入口点程序可以使执行者进入到域A中。域B 域A 入口点程序Pb拥有exec/auto权限主体S执行exec：需执行域切换操作；auto：无需执行域切换操作。2009 电子工业出版社第9/24页域的入口点域的入口点系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第10/24页域描述例：域描述访问权限：r-读w-写x-执行d-搜索（目录）2009 电子工业出版社第10/24页域描述例：域描述系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第11/24页初始域设定例：系统域描述和初始域设定在进程派生过程中，子进程继承父进程的工作域：子进程在父进程所在的域中运行。2009 电子工业出版社第11/24页初始域设定例：系统系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第12/24页SELinux实现的TE模型SELinux-Security Enhanced LinuxNSA-开放源代码访问控制模型的核心-DTE模型-TE模型SETE-SELinux Type Enforcement安全策略配置语言SEPL-SELinux Policy LanguageDTEL 2009 电子工业出版社第12/24页SELinux实现系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第13/24页SETE模型的特点类型的细分增加客体类别概念普通文件、目录、进程、套接字、文件系统权限的细化file类别：read、write、execute、getattr、createdir类别：read、write、search、rmdirprocess类别：signal、transition、fork、getattrsocket类别：bind、listen、connect、acceptfilesystem类别：mount、unmount域&类型 类型域：域类型、主体类型 2009 电子工业出版社第13/24页SETE模型的特点系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第14/24页SETE模型的访问授权规则allow规则例：2009 电子工业出版社第14/24页SETE模型的访问系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第15/24页修改口令方法的危险及其消除已知Linux中/etc/shadow文件和passwd程序的部分权限信息如下所示，请说明passwd程序为普通用户修改口令的方法及其不足，如何利用SETE模型的访问控制克服该不足？2009 电子工业出版社第15/24页修改口令方法的危险系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第16/24页口令修改过程中的域问题设用户BOB登录进入SELinux系统后欲修改其口令，试分析与该过程有关的进程可能涉及到的域的情况，以及可能遇到的访问权限问题。2009 电子工业出版社第16/24页口令修改过程中的域系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第17/24页口令修改过程中的进程有效身份设用户BOB登录进入Linux系统后欲修改其口令，试分析该过程通过改变进程的有效身份以获得访问shadow口令文件的权限的方法。2009 电子工业出版社第17/24页口令修改过程中的进系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第18/24页口令修改过程中的域切换（问）设用户BOB登录进入SELinux系统后欲修改其口令，已知shadow口令文件是shadow_t类型的文件，passwd_d域拥有修改shadow_t类型的口令文件所需要的访问权限，试给出一个确定进程工作域的方案，使得负责口令修改的passwd进程有权修改shadow文件中的口令信息。2009 电子工业出版社第18/24页口令修改过程中的域系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第19/24页口令修改过程中的域切换（答）2009 电子工业出版社第19/24页口令修改过程中的域系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第20/24页SETE模型切换工作域的条件同时具备以下三个条件：进程的新的工作域必须拥有对可执行文件的类型的entrypoint访问权限；进程的旧的工作域必须拥有对入口点程序的类型的execute访问权限；进程的旧的工作域必须拥有对进程的新的工作域的transition访问权限。allow user_d passwd_exec_t:filegetattr executeallow passwd_d passwd_exec_t:file entrypointallow user_d passwd_d:process transition 2009 电子工业出版社第20/24页SETE模型切换工系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第21/24页进程工作域的自动切换切换规则：type_transition source_type target_type:process default_type;2009 电子工业出版社第21/24页进程工作域的自动切系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第22/24页进程工作域的自动切换切换规则：type_transition source_type target_type:process default_type;例：type_transition user_d passwd_exec_t:process passwd_d;在此域运行的进程执行此类型的入口点程序自动切换到该域 2009 电子工业出版社第22/24页进程工作域的自动切系统与信息安全研究实验室RENMIN UNIVERSITY OF CHINA 2009 电子工业出版社第23/24页 2009 电子工业出版社第23/24页wenchang