Linux安全模塊（LSM）簡(jiǎn)介

Linux安全模塊(LSM)是Linux內核的一個(gè)輕量級通用訪(fǎng)問(wèn)控制框架。本文介紹Linux安全模塊(LSM)的相關(guān)背景，設計思想，實(shí)現方法;并說(shuō)明如何使用Linux安全模塊(LSM)來(lái)增強Linux系統的安全性：一方面是供內核開(kāi)發(fā)人員和安全研究人員使用的接口，另一方面是供普通用戶(hù)使用的模塊，以及具體的使用方法。如果讀者具有Linux內核和安全的相關(guān)背景知識，可以有助于對本文的理解;如果不具有，可以先閱讀本文最后參考資料中列出的IBM dW上的三篇文章。

1.相關(guān)背景介紹：為什么和是什么

近年來(lái)Linux系統由于其出色的性能和穩定性，開(kāi)放源代碼特性帶來(lái)的靈活性和可擴展性，以及較低廉的成本，而受到計算機工業(yè)界的廣泛關(guān)注和應用。但在安全性方面，Linux內核只提供了經(jīng)典的UNIX自主訪(fǎng)問(wèn)控制(root用戶(hù)，用戶(hù)ID，模式位安全機制)，以及部分的支持了POSIX.1e標準草案中的capabilities安全機制，這對于Linux系統的安全性是不足夠的，影響了Linux系統的進(jìn)一步發(fā)展和更廣泛的應用。

有很多安全訪(fǎng)問(wèn)控制模型和框架已經(jīng)被研究和開(kāi)發(fā)出來(lái)，用以增強Linux系統的安全性，比較知名的有安全增強Linux(SELinux)，域和類(lèi)型增強(DTE)，以及Linux入侵檢測系統(LIDS)等等。但是由于沒(méi)有一個(gè)系統能夠獲得統治性的地位而進(jìn)入Linux內核成為標準;并且這些系統都大多以各種不同的內核補丁的形式提供，使用這些系統需要有編譯和定制內核的能力，對于沒(méi)有內核開(kāi)發(fā)經(jīng)驗的普通用戶(hù)，獲得并使用這些系統是有難度的。在2001年的Linux內核峰會(huì )上，美國國家安全局(NSA)介紹了他們關(guān)于安全增強Linux(SELinux)的工作，這是一個(gè)靈活的訪(fǎng)問(wèn)控制體系Flask在Linux中的實(shí)現，當時(shí)Linux內核的創(chuàng )始人Linus Torvalds同意Linux內核確實(shí)需要一個(gè)通用的安全訪(fǎng)問(wèn)控制框架，但他指出最好是通過(guò)可加載內核模塊的方法，這樣可以支持現存的各種不同的安全訪(fǎng)問(wèn)控制系統。因此，Linux安全模塊(LSM)應運而生。

Linux安全模塊(LSM)是Linux內核的一個(gè)輕量級通用訪(fǎng)問(wèn)控制框架。它使得各種不同的安全訪(fǎng)問(wèn)控制模型能夠以L(fǎng)inux可加載內核模塊的形式實(shí)現出來(lái)，用戶(hù)可以根據其需求選擇適合的安全模塊加載到Linux內核中，從而大大提高了Linux安全訪(fǎng)問(wèn)控制機制的靈活性和易用性。目前已經(jīng)有很多著(zhù)名的增強訪(fǎng)問(wèn)控制系統移植到Linux安全模塊(LSM)上實(shí)現，包括POSIX.1e capabilities，安全增強Linux(SELinux)，域和類(lèi)型增強(DTE)，以及Linux入侵檢測系統(LIDS)等等。雖然目前Linux安全模塊(LSM)仍然是作為一個(gè)Linux內核補丁的形式提供，但是其同時(shí)提供Linux 2.4穩定版本的系列和Linux 2.5開(kāi)發(fā)版本的系列，并且很有希望進(jìn)入Linux 2.6穩定版本，進(jìn)而實(shí)現其目標：被Linux內核接受成為L(cháng)inux內核安全機制的標準，在各個(gè)Linux發(fā)行版中提供給用戶(hù)使用。

2.設計思想介紹：得讓兩方面都滿(mǎn)意

Linux安全模塊(LSM)的設計必須盡量滿(mǎn)足兩方面人的要求：讓不需要它的人盡可能少的因此得到麻煩;同時(shí)讓需要它的人因此得到有用和高效的功能。

以L(fǎng)inus Torvalds為代表的內核開(kāi)發(fā)人員對Linux安全模塊(LSM)提出了三點(diǎn)要求：

真正的通用，當使用一個(gè)不同的安全模型的時(shí)候，只需要加載一個(gè)不同的內核模塊

概念上簡(jiǎn)單，對Linux內核影響最小，高效，并且

能夠支持現存的POSIX.1e capabilities邏輯，作為一個(gè)可選的安全模塊

另一方面，各種不同的Linux安全增強系統對Linux安全模塊(LSM)提出的要求是：能夠允許他們以可加載內核模塊的形式重新實(shí)現其安全功能，并且不會(huì )在安全性方面帶來(lái)明顯的損失，也不會(huì )帶來(lái)額外的系統開(kāi)銷(xiāo)。

為了滿(mǎn)足這些設計目標，Linux安全模塊(LSM)采用了通過(guò)在內核源代碼中放置鉤子的方法，來(lái)仲裁對內核內部對象進(jìn)行的訪(fǎng)問(wèn)，這些對象有：任務(wù)，inode結點(diǎn)，打開(kāi)的文件等等。用戶(hù)進(jìn)程執行系統調用，首先游歷Linux內核原有的邏輯找到并分配資源，進(jìn)行錯誤檢查，并經(jīng)過(guò)經(jīng)典的UNIX自主訪(fǎng)問(wèn)控制，恰好就在Linux內核試圖對內部對象進(jìn)行訪(fǎng)問(wèn)之前，一個(gè)Linux安全模塊(LSM)的鉤子對安全模塊所必須提供的函數進(jìn)行一個(gè)調用，從而對安全模塊提出這樣的問(wèn)題是否允許訪(fǎng)問(wèn)執行?，安全模塊根據其安全策略進(jìn)行決策，作出回答：允許，或者拒絕進(jìn)而返回一個(gè)錯誤。

另一方面，為了滿(mǎn)足大多數現存Linux安全增強系統的需要，Linux安全模塊(LSM)采取了簡(jiǎn)化設計的決策。Linux安全模塊(LSM)現在主要支持大多數現存安全增強系統的核心功能：訪(fǎng)問(wèn)控制;而對一些安全增強系統要求的其他安全功能，比如安全審計，只提供了的少量的支持。Linux安全模塊(LSM)現在主要支持限制型的訪(fǎng)問(wèn)控制決策：當Linux內核給予訪(fǎng)問(wèn)權限時(shí)，Linux安全模塊(LSM)可能會(huì )拒絕，而當Linux內核拒絕訪(fǎng)問(wèn)時(shí)，就直接跳過(guò)Linux安全模塊(LSM);而對于相反的允許型的訪(fǎng)問(wèn)控制決策只提供了少量的支持。對于模塊功能合成，Linux安全模塊(LSM)允許模塊堆棧，但是把主要的工作留給了模塊自身：由第一個(gè)加載的模塊進(jìn)行模塊功能合成的最終決策。所有這些設計決策可能暫時(shí)影響了Linux安全模塊(LSM)的功能和靈活性，但是大大降低了Linux安全模塊(LSM)實(shí)現的復雜性，減少了對Linux內核的修改和影響，使得其進(jìn)入Linux內核成為安全機制標準的可能性大大提高;等成為標準后，可以改變決策，增加功能和靈活性。

3.實(shí)現方法介紹：對Linux內核的修改

Linux安全模塊(LSM)目前作為一個(gè)Linux內核補丁的形式實(shí)現。其本身不提供任何具體的安全策略，而是提供了一個(gè)通用的基礎體系給安全模塊，由安全模塊來(lái)實(shí)現具體的安全策略。其主要在五個(gè)方面對Linux內核進(jìn)行了修改：

　　在特定的內核數據結構中加入了安全域

　　在內核源代碼中不同的關(guān)鍵點(diǎn)插入了對安全鉤子函數的調用

　　加入了一個(gè)通用的安全系統調用

　　提供了函數允許內核模塊注冊為安全模塊或者注銷(xiāo)

　　將capabilities邏輯的大部分移植為一個(gè)可選的安全模塊

下面對這五個(gè)方面的修改逐個(gè)做簡(jiǎn)要的介紹。

安全域是一個(gè)void*類(lèi)型的指針，它使得安全模塊把安全信息和內核內部對象聯(lián)系起來(lái)。下面列出被修改加入了安全域的內核數據結構，以及各自所代表的內核內部對象：

　　task_struct結構：代表任務(wù)(進(jìn)程)

　　linux_binprm結構：代表程序

　　super_block結構：代表文件系統

　　inode結構：代表管道，文件，或者Socket套接字

　　file結構：代表打開(kāi)的文件

　　sk_buff結構：代表網(wǎng)絡(luò )緩沖區(包)

　　net_device結構：代表網(wǎng)絡(luò )設備

　　kern_ipc_perm結構：代表Semaphore信號，共享內存段，或者消息隊列

　　msg_msg：代表單個(gè)的消息

另外，msg_msg結構，msg_queue結構，shmid_kernel結構被移到include/linux/msg.h和include/linux/shm.h這兩個(gè)頭文件中，使得安全模塊可以使用這些定義。

Linux安全模塊(LSM)提供了兩類(lèi)對安全鉤子函數的調用：一類(lèi)管理內核對象的安全域，另一類(lèi)仲裁對這些內核對象的訪(fǎng)問(wèn)。對安全鉤子函數的調用通過(guò)鉤子來(lái)實(shí)現，鉤子是全局表security_ops中的函數指針，這個(gè)全局表的類(lèi)型是security_operations結構，這個(gè)結構定義在include/linux/security.h這個(gè)頭文件中，這個(gè)結構中包含了按照內核對象或內核子系統分組的鉤子組成的子結構，以及一些用于系統操作的頂層鉤子。在內核源代碼中很容易找到對鉤子函數的調用：其前綴是security_ops->。對鉤子函數的詳細說(shuō)明留到后面。

Linux安全模塊(LSM)提供了一個(gè)通用的安全系統調用，允許安全模塊為安全相關(guān)的應用編寫(xiě)新的系統調用，其風(fēng)格類(lèi)似于原有的Linux系統調用socketcall()，是一個(gè)多路的系統調用。這個(gè)系統調用為security()，其參數為(unsigned int id, unsigned int call, unsigned long *args)，其中id代表模塊描述符，call代表調用描述符，args代表參數列表。這個(gè)系統調用缺省的提供了一個(gè)sys_security()入口函數：其簡(jiǎn)單的以參數調用sys_security()鉤子函數。如果安全模塊不提供新的系統調用，就可以定義返回-ENOSYS的sys_security()鉤子函數，但是大多數安全模塊都可以自己定義這個(gè)系統調用的實(shí)現。

在內核引導的過(guò)程中，Linux安全模塊(LSM)框架被初始化為一系列的虛擬鉤子函數，以實(shí)現傳統的UNIX超級用戶(hù)機制。當加載一個(gè)安全模塊時(shí)，必須使用register_security()函數向Linux安全模塊(LSM)框架注冊這個(gè)安全模塊：這個(gè)函數將設置全局表security_ops，使其指向這個(gè)安全模塊的鉤子函數指針，從而使內核向這個(gè)安全模塊詢(xún)問(wèn)訪(fǎng)問(wèn)控制決策。一旦一個(gè)安全模塊被加載，就成為系統的安全策略決策中心，而不會(huì )被后面的register_security()函數覆蓋，直到這個(gè)安全模塊被使用unregister_security()函數向框架注銷(xiāo)：這簡(jiǎn)單的將鉤子函數替換為缺省值，系統回到UNIX超級用戶(hù)機制。另外，Linux安全模塊(LSM)框架還提供了函數mod_reg_security()和函數mod_unreg_security()，使其后的安全模塊可以向已經(jīng)第一個(gè)注冊的主模塊注冊和注銷(xiāo)，但其策略實(shí)現由主模塊決定：是提供某種策略來(lái)實(shí)現模塊堆棧從而支持模塊功能合成，還是簡(jiǎn)單的返回錯誤值以忽略其后的安全模塊。這些函數都提供在內核源代碼文件security/security.c中。
linux操作系統文章專(zhuān)題:linux操作系統詳解（linux不再難懂）