戴文的Linux内核专题：04安全

转自Linux中国

 

 

Linux内核是全部Linux系统的核心。若是有任何恶意代码控制或破害了内核的任何一部分，那么系统会严重受损，文件可能被删除或损坏，私人信息可能被盗等等。很明显，保持内核安全涉及到用户的最大利益。值得庆幸的是，因为Linux内核极其安全，Linux是一个很是安全的系统。在用户比例上，Linux病毒比Windows病毒更少，而且Linux用户比Windows用户我的更少感染病毒。(这就是为何许多公司使用Linux来管理他们的服务器的一个缘由。) 然而，咱们仍然没有借口去忽视内核的安全。Linux有几个安全特性和程序，但本文只讨论Linux安全模块(LSM)及其它的内核安全特性。

AppArmor（应用盔甲）最初是由Immunix写的安全模块。自从2009年以来，Canonical维护着这些代码（Novell在Immunix以后，Canonical之前管理这些代码）。这个安全模块已经从2.6.36版本进入Linux主分支之中。AppArmor限制了程序的能力。AppArmor使用文件路径来跟踪程序限制。许多Linux管理员称AppArmor是最容易配置的安全模块。然而，而许多Linux用户以为这个模块与其它的替代品相比很糟糕。

安全加强Linux(SELinux)是AppArmor的替代品，它最初由美国国家安全局开发（NSA）。SELinux自从2.6版本就进入内核主分支中。SELinux是限制修改内核和用户空间的工具。SELinux给可执行文件(主要是守护进程和服务端程序)最小特权去完成它们的任务。SELinux也能够用来控制用户权限。SELinux不像AppArmor那样使用文件路径，而SELinux在追踪权限时使用文件系统去标记可执行文件。由于SElinux自己使用文件系统管理可执行文件，因此SELinux不能像AppArmor那样对整个文件系统提供保护。

注意：守护进程是在后台运行的程序

注意：虽然在内核中有AppArmor、SELinux及其它安全模块，但只能有一个安全模块被激活。

Smack是安全模块的另外一种选择。Smack从2.6.25起进入内核主分支。Smack应能比AppArmor更安全，但比SELinux更容易配置。

TOMOYO，是另一个安全模块，在2.6.30进入内核主分支。TOMOYO能够提供安全防御，可是它的主要用途是分析系统安全缺陷。

AppArmor、SELinux、Smack和TOMYO组成了四个标准Linux安全模块。这些都经过使用强制访问控制(MAC ： mandatory access control)工做，这种访问控制是经过限制程序或者用户执行一些任务来实现的。安全模块还有某些形式的列表规定了它们能够作什么不能够作什么。

Yama在Linux内核中一个新安全模块。Yama尚未做为标准的安全模块，可是在未来他会成为第5个标准安全模块。Yama和其余安全模块同样使用相同的机制。

“grsecurity”是一系列Linux内核安全补丁的集合。多数补丁用于处理远程网络链接和缓冲区溢出的安全问题(之后讨论)。grsecurity中有一个叫PaX的有趣组件。PaX补丁容许内存里的代码使用最少的所需权限。例如，存储程序的内存段被标为不可写。想一想看，为何一个可执行的程序须要在内存中是可写的？经过这个补丁，恶意代码就不能修改目前正在执行的程序。缓冲区溢出是一种当程序因为bug或者恶意代码在内存上写入数据，并让它的内存边界超出到其余程序的内存页上的安全事件。当Pax被激活时，它会帮助阻止这些缓冲区溢出，由于程序没有写到其余内存页上的权限了。

Linux入侵检测系统(LIDS)是一个内核安全补丁，提供了强制访问控制(MAC)的特性。这个补丁就像扮演LSM模块的角色。

Systrace是一个减小和控制应用程序访问系统文件和系统调用的工具。系统调用是对内核的服务请求。好比，当一个文本编辑器写入一个文件到硬盘上时，程序将会发送一个系统请求让内核写入文件到硬盘中。

这些是在Linux安全系统中很是重要的组件。这些安全模块和补丁使内核免于受到恶意代码的攻击。没有这些特性，Linux系统将会变成一个不安全的操做系统。