SELinux

Сергей Яремчук

«Открытое программное обеспечение  играет все более и более важную роль в федеральных IT- системах.

Я восхищен, что эксперты защиты агентства национальной безопасности делают это ценное содействие Open Source».

Jeffery Hunker, Senior Director for Critical Infrastructure at the White House National Security Council

Дистрибутивов Linux существует великое множество, есть среди них предназначенные для конечного пользователя, есть совсем маленькие, как правило, однодискетные, узкоспециализированные, предназначенные для решения конкретных задач, и нашлось место довольно приличной группе, обозначенной как Security enchanced. Хотя грань между всеми этими категориями в большинстве случаев провести довольно трудно. В последней группе особое внимание привлекает Security Enhanced Linux (http://www.nsa.gov/selinux) или просто SELinux, разработанный в недрах U.S. National Security Agency (NSA). Возник этот проект в 2000 году. В разработках участвуют такие организации, как Secure Computing Corporation, Networks Associates Technology Labs и MITRE Corporation и много добровольцев, так как проект распространяется по лицензии GPL. Основной задачей проекта было достижение такого уровня защищенности системы, чтобы можно было спокойно использовать ее в военных и правительственных организациях. Но по большому счету это не совсем дистрибутив, каким привыкли его видеть администраторы. SELinux представляет собой дополнительные расширения к ядру, увеличивающие его защищенность и возможность более гибко и строго работать с правами доступа для конкретных пользователей. Чтобы обеспечить дополнительную гибкость при добавлении новых возможностей с помощью различных add-on был разработан модуль защиты Linux Security Module (LSM), который обеспечивает модульное добавление расширений защиты к стандартному ядру Linux.

Операционные системы должны иметь возможность обеспечить разделение информации, основанной на конфиденциальности и требованиях целостности, для обеспечения защиты системы. Существует несколько моделей контроля доступа, применяемых в различных системах. В UNIX применяется модель Discretionary Access Control (DAC), которая описывает права каждого пользователя по доступу к конкретным файлам, выполняющиеся программы имеют те же права, что и запустивший их пользователь. При необходимости пользователь может предоставлять другим доступ к своим файлам и программам. При такой модели уровень системной защиты остается зависимым от конкретных функционирующих приложений. Например, если программа, функционирующая от имени root, скомпрометирована, то нападавший может вполне получить в системе аналогичные привилегии, так как механизм DAC опирается в своей работе только на тождество пользователя и монопольное использование, игнорируя другую вполне уместную информацию, например, о роли пользователя в системе, функции и уровне доверия конкретной программы и необходимости в целостности данных. Каждый пользователь имеет полную свободу действий в пределах своих полномочий. Другая модель защиты, основанная на принудительном контроле доступа – Mandatory Access Control (MAC) – позволяет настроить доступ, базируясь на решении относительно конкретных документов и классификаций объектов. Причем используются очень строгие правила по типу «что не разрешено явно – запрещено». Но осуществление механизма MAC в UNIX-системах напрямую может привести к образованию большого количества правил, так как придется описывать определенные правила для каждого пользователя и каждой программы, которую он может использовать. Чтобы избежать этого, в SELinux использована концепция роль-основанного контроля доступа Role-Based Access Control (RBAC), с помощью которой администратор системы определяет роли и разрешает пользователям доступ к тем ролям, которые ему действительно необходимы. Определяя роли в системе и объекты в системе, к которым эти роли могут обращаться, и разрешая теперь различным пользователям использовать различные роли, задача определения принудительного контроля доступа существенно упрощается. В SELinux выполнена модель Mandatory Access Control, основанная на Linux-ядре. Администратор системы имеет возможность установить политику защиты, в которой определить, какие из программ к каким файлам могут обращаться. Это несколько напоминает инструкции firewall, индивидуальные для каждого сетевого интерфейса. Механизм защиты в SELinux носит название Type Enforcement (TE) и позволяет закрепить за каждым процессом и файлом, которые необходимо контролировать, некую метку. Теперь к политике, определенной администратором, ядро обращается через сервер защиты, встроенный в ядро, который и решает, допустить ли к процессу или файлу или отвергнуть запрос. Если процесс, запущенный от имени администратора, скомпрометирован, то ущерб, который может быть причинен системе, ограничен только тем, к чему он может обращаться, согласуясь с установленными для него правилами. Дополнительно в SELinux заложена возможность использования многоуровневой модели защиты Multi-Level Security model (MLS), которая используется только в военных и правительственных многопользовательских системах, требующих чрезвычайно высокого уровня защиты. В этой модели все объекты типа файлов могут классифицироваться с уровнями защиты типа «Top Secret», «Secret», «Confidential» и «Unrestricted». При этом информация может переходить от нижнего уровня к верхнему, но никогда в обратном направлении.