wordpress背景特效,唐山seo公司,竞价托管魏大帅,织梦网站查看原有文章计算机安全是一个非常重要的概念和主题#xff0c;它不仅仅可以保护用户个人信息和资产的安全#xff0c;还可以影响到用户在使用过程中的体验#xff1b;但同时#xff0c;它也是一个很抽象的概念#xff0c;关于其相关文献和资料不计其数#xff0c;但它究竟是什么、包…计算机安全是一个非常重要的概念和主题它不仅仅可以保护用户个人信息和资产的安全还可以影响到用户在使用过程中的体验但同时它也是一个很抽象的概念关于其相关文献和资料不计其数但它究竟是什么、包含什么并没有详尽并全面的介绍。尽管困难国际上还是对计算机安全概括出了三个特性 私密性Confidentiality 完整性Integrity 可用性Availability 三者合起来简写为 CIA 。私密性就是数据不被未授权的人看到完整性指存储或传输的信息不被篡改可用性是指自己的设备在需要使用的时候能够使用。 内核对于系统的重要性是无需多言的。Linux 内核安全的开发从上世纪 90 年代中后期开始经过 20 多年的开发 Linux 内核中安全相关模块还是很全面的有用于强制访问控制的 LSM 、有用于完整性保护的 IMA 和 EVM 、有用于加密的密钥管理模块和加密算法库、还有日志和审计模块、以及一些零碎的安全增强特性。 LSM 全称为 Linux Security Modules 中文直译为 Linux 安全模块。别看叫 Linux 安全模块但 LSM 其实是一个在内核各个安全模块的基础上提出抽象出的轻量级安全访问控制框架。该框架只是提供一个支持安全模块的接口本身不能增强系统安全性具体的工作交给各安全模块来做。这有点儿类似于系统架构师和工程师的关系架构师负责抽象建模、系统设计和框架搭建工程师按照架构师的框架设计进行编码将其构想付诸实现。 再具体点说 LSM 在 Linux 内核中体现为一组安全相关的函数这些安全函数在系统调用的执行路径中会被调用。因此 LSM 的目的是对用户态进程进行强制访问控制。至于这些安全函数要实施什么样的访问控制则是由具体的安全模块决定的。 两段内容就提到了两次安全模块那到底都有哪些安全模块 截止到2014年 Linux 内核主线上共有 5 个安全模块SELinux、AppArmor、Smack、TOMOYO 和 Yama后来又增加了 LoadPin 和 SafeSetID 等。虽然还被称为模块但实际上自 Linux 内核 2.6.x 版本之后 Linux 就强制 LSM 各个模块必须被编译进内核中不能再以模块的形式存在了。这意味着在运行时不能再随意加载一个所谓的安全模块作为访问控制机制了也不能随意卸载一个安全模块了。 说起 LSM 的历史就不能不提到 SELinux 。实际上是先有的 SELinux 后有的 LSM 可以说 LSM 是由 SELinux 推动才应运而生的。具体是怎么回事且听我慢慢道来。 在 2001 年的 Linux Kernel 峰会上美国国家安全局National Security Agency简写为 NSA 代表建议在 Linux Kernel 2.5 中加入 Security-Enhanced Linux(SELinux) 。然而这一提议遭到了 Linus Torvalds Linux 之父的拒绝。当然了拒绝也是有原因、有理由的 一方面 SELinux 并不是唯一用于增强 Linux 安全性的安全子系统
另一方面并不是所有的开发人员都认为 SELinux 是最佳的解决方案。最终“托爷”还真就没让 SELinux 加入到 Linux Kernel 2.5 。 虽然来了个“烧鸡大窝脖”可是人家 NSA 可没有气馁和放弃。相反将 Linux Security Module 即 LSM 的开发提上日程。打那之后LSM 子系统开发了近 3 年终于在 2003 年完成了由 SELinux 到 LSM 的迁移并在 Linux Kernel 2.6 正式加入到内核中。自此以后大量安全模块应运而生了比如 RHEL、Fedora、CentOS 等发行版中默认的 SELinux 以及在 Ubuntu、OpenSUSE、SUSE、Debian 等发行版中默认的 AppArmor 等等就是上文列出的那些安全模块。 LSM 框架主要由五大部分组成 在关键的特定内核数据结构中加入了安全域 在内核源码中不同的关键点处插入对安全钩子函数的调用 提供了一个通用的安全系统调用 提供了注册和注销函数使得访问控制策略可以以内核模块方式实现 将 capabilities 逻辑的大部分功能移植为一个可选的安全模块。
具体实现上 LSM 框架通过提供一系列的 Hook 即钩子函数来控制对内核对象的操作其本质是插桩法。Hook 函数的访问示意图如下 通过系统调用进入内核之后系统首先进行错误检查错误检查通过之后进行传统的权限检查即自主访问控制Discretionary Access ControlDAC检查传统权限检查主要是基于用户的用户通过验证之后就可以访问资源通过之后才会进行强制访问控制Mandatory Access ControlMAC。强制访问控制是不允许主体干涉的一种访问控制其采用安全标识、信息分级等信息敏感性进行访问控制并通过比较主体的级别和资源的敏感性来确定是否允许访问。 LSM 是一个很大的概念和课题涉及很多方面、层面的知识非常值得深入学习、探索和研究。 它作为 Linux 内核的一个关键组成部分对计算机安全至关重要。深入研究 LSM 可以为提高 Linux 系统的安全性、性能和适应性提供重要见解并有助于满足不断演变的安全需求。 我们认为如何适应新兴技术和安全挑战是一个有前景的研究方向。同时鼎道智联正在打造的 DingOS 也在探索着相关内容力争为用户带来更安全、绿色、便捷的操作体验如果你也对此感兴趣欢迎关注我们加入鼎道生态和我们一起创造出更智能、更高效、更可持续的未来。
