SELinux的报价严格,但有时难以管理的安全性。将一个简单的方法,通过SUSE倡导,使之成为主流内核?
很久LWN读者会知道,Linux安全模块(LSM)API是有争议的最好的。对许多人来说,却始终无法在它的目的,就是使竞争的方法来强化Linux系统的发展;唯一显著的树安全模块保持了SELinux。同时,LSM界面容易被滥用;因为它允许钩子的插入到感兴趣几乎任何系统操作,它可以通过其它模块可以用于提供非安全功能。该LSM符号大多出口GPL只,但它仍然是可能的只有二进制模块滥用LSM操作 - 而且,显然,一些已经这样做了。
SELinux的黑客詹姆斯·莫里斯最近已经琢磨这个问题;他还注意到,在树的安全模块(SELinux和小模块实现功能),无法卸载。于是,他问,为什么落实所有模块化接口?他已经张贴了补丁果然LSM成静态API没有导出的符号。套用这个补丁,任何所需的安全“模块”必须建立在核心;不再有什么办法可以在运行时添加。
已经有一些抱怨,但是,从笔者的角度来看,它似乎并不像有人想出了一个令人信服的理由,它必须能够卸载安全模块。相反,它已经指出,在卸载的模块的存在保持一致的安全状态几乎是不可能的。所以这个补丁似乎有被应用相当不错的机会。唯一的问题,或许是开发商是否觉得有必要为开发商和树外的安全模块,用户的扩展警告期。
这样一个模块的AppArmor - 在GPL许可的安全机制由Novell分布式。AppArmor配置已经很长一段时间内保持了树的,而它的开发者试图解决已张贴多年来的各种意见。一个新补丁的AppArmor已经公布;很多事情已得到修复,但核心点遗迹之一:AppArmor中仍然使用其策略执行基于路径的机制。尤其是那些在SELinux的阵营 - - 谁认为路径名的本质上是不安全的方法这种方法与开发商坐不好。他们认为,对对象的控制访问的唯一真正安全的办法就是把标签上的对象本身。
看来,这起纠纷已在2006年内核峰会上,它被确定,使用路径名是不够的,让出的AppArmor的内核得到了解决。这并没有停止抱怨的人,不过,这些投诉加倍当另一个基于路径的方法(TOMOYO的Linux)最近公布。如果AppArmor的不进入主线,将有超过谁觉得是它的用户提供了虚假的安全开发人员的反对。
安德鲁莫顿看来要解决这个问题,得到它的邮件列表;他看到两个备选方案:
a)划的技术问题,并勉强合并这个东西作为SUSE和他们的用户(这两个实体对我们很重要的一个服务),并离开这一切在如何而不是到开发内核实物教学课-特征。[...]B)离开它,而要求的Suse穿维护它乱树的永久成本和质量的影响。它仍然是在一个对象的教训如何,没有对开发内核的功能。
看来,安德鲁宁可不上怎么不开发而不择手段的内核代码提供实物教材的位置;他最后提出了这个请求:
叹。请不要把我们在这个位置一次。它向客户发货之前得到的东西上游,OK?这不是火箭科学。
在2006年的峰会上,莱纳斯采取了明确的立场,即使用路径名,安全策略似乎合理的给他。鉴于此,与事实的AppArmor被广泛分布一起,它似乎是迟早,这个模块也发现在主线家 - 即使它不再以模块化形式。
了解更多关于这个话题
顶级Linux安全威胁:大卫艾伦(播客,15点39分)
这个故事,“内核空间:Linux安全非模块和AppArmor的”最初发表LinuxWorld-(美国) 。