防止权限升级
第12 章• 权限(参考) 247
注意– 可修改用户帐户,以便在该用户的初始可继承集中包含file_chown_self 权限或
proc_owner 权限。您应当有充分的安全理由将这些功能强大的权限放置在任何用户、角色
或系统的可继承权限集中。
有关如何针对设备防止权限升级的详细信息,请参见第182 页中的“权限和设备”。
传统应用程序和权限模型
为了适应传统应用程序,权限的实现使用超级用户模型和权限模型。内核会自动跟踪
PRIV_AWARE 标志,此标志指示已指定某个程序使用权限。请考虑不能识别权限的子进程。
从父进程继承的所有权限均可在子进程的允许集和有效集中找到。如果子进程将UID 设置
为0,则其可能不具有全部超级用户功能。进程的有效集和允许集会被限制为子进程限制集
中包含的那些权限。这样,可识别权限进程的限制集会限制不能识别权限的子进程的超级
用户权限。
传统应用程序和权限模型
248 系统管理指南:安全性服务• 2006 年9 月
Solaris 加密服务
本部分介绍Solaris OS 所提供的集中的加密服务。
第4 部分
249
250
Solaris 加密框架(概述)
本章介绍SolarisTM 加密框架。以下是本章中信息的列表:
� 第251 页中的“Solaris 加密框架的新增功能”
� 第252 页中的“Solaris 加密框架”
� 第252 页中的“Solaris 加密框架术语”
� 第253 页中的“Solaris 加密框架的范围”
� 第254 页中的“Solaris 加密框架中的管理命令”
� 第254 页中的“Solaris 加密框架中的用户级命令”
� 第255 页中的“Solaris 加密框架插件”
� 第255 页中的“加密服务和区域”
要管理和使用Solaris 加密框架,请参见第14 章。
Solaris 加密框架的新增功能
Solaris 10 1/06:框架库libpkcs11.so 包含新组件元插槽。元插槽充当一个虚拟插槽,它具
有框架中安装的所有令牌和槽的组合功能。实际上,元插槽使应用程序通过单个插槽与任
何可用的加密服务透明地连接。
� 有关更多信息,请参见第252 页中的“Solaris 加密框架术语”中插槽、元插槽和令牌的
定义。
� 要管理元插槽,请参见cryptoadm(1M) 手册页。
� 有关Solaris 新增功能的完整列表以及Solaris 发行版的描述,请参见《Solaris 10 What’s
New》。
13 第1 3 章
251
Solaris 加密框架
Solaris 加密框架提供用于处理加密要求的算法和PKCS #11 库的公共存储区。PKCS #11 库按
照以下标准实现:RSASecurity Inc. 推出的PKCS #11 加密令牌接口(Cryptographic Token
Interface, Cryptoki)。
在内核级别,框架当前处理Kerberos 和IPsec 的加密要求。用户级使用者包括libsasl 和
IKE。
美国出口法要求应限制使用开放式加密接口。Solaris 加密框架通过要求对内核加密提供器
和PKCS #11 加密提供器签名来满足当前法律规定。有关进一步介绍,请参见第254 页中的
“第三方软件的二进制文件签名”。
框架使加密服务的提供器可以让Solaris 操作系统中的许多使用者使用其服务。提供器的另
外一个名称是插件。框架允许使用三种类型的插件:
� 用户级插件-使用PKCS #11 库(如pkcs11_softtoken.so.1)提供服务的共享对象。
� 内核级插件-提供软件中加密算法(如AES)的实现的内核模块。
框架中的许多算法针对x86(使用SSE2 指令集)和SPARC 硬件进行了优化。
� 硬件插件-设备驱动程序及其关联的硬件加速器。硬件加速器使操作系统不再处理高开
销的加密功能。Sun Crypto 加速器1000 板就是这样一个示例。
框架为用户级提供器实现了标准接口PKCS #11 v2.11 库。第三方应用程序可以使用该库来访
问提供器。第三方也可以向框架中添加签名库、签名内核算法模块和签名设备驱动程序。
pkgadd 实用程序安装该第三方软件时将添加这些插件。有关框架的主要组件图,请参
见《Solaris Security for Developers Guide》中的第8 章,“Introduction to the Solaris
Cryptographic Framework” 。
Solaris 加密框架术语
以下列出的定义和示例在使用加密框架时非常有用。
� Algorithms(算法)-加密算法。这些算法是已建立的用于对输入执行加密或散列操作
的递归计算过程。加密算法可以是对称算法,也可是非对称算法。对称算法对于加密和
解密使用相同的密钥。非对称算法用于公钥加密中,它要求两个密钥。散列函数也是算
法。
算法示例包括:
� 对称算法,如AES 和ARCFOUR
� 非对称算法,例如Diffie-Hellman 和RSA
� 散列函数,如MD5
� Consumers(使用者)-来自提供器的加密服务的用户。使用者可以是应用程序、最终
用户或内核操作。
使用者示例包括:
� 应用程序,如IKE
Solaris 加密框架
252 系统管理指南:安全性服务• 2006 年9 月
� 最终用户,如运行encrypt 命令的普通用户
� 内核操作,例如IPsec
� Mechanism(机制)-针对特定目的算法模式的应用。
例如,应用于验证的DES 机制(如CKM_DES_MAC)与应用于加密的DES 机制(如
CKM_DES_CBC_PAD)不同。
� Metaslot(元插槽)-提供框架中装入的其他插槽的功能组合的单个插槽。元插槽简化
了处理框架中提供的所有提供器功能的工作。使用元插槽的应用程序请求某操作时,元
插槽将确定应执行该操作的实际插槽。元插槽功能可以配置,但不需要配置。缺省情况
下,元插槽处于打开状态。要配置元插槽,请参见cryptoadm(1M) 手册页。
� Mode(模式)-加密算法的版本。例如,模式CBC(Cipher Block Chaining,密码块链
接)与模式ECB(Electronic Code Book,电子源码书)不同。AES 算法包含两种模式
:CKM_AES_ECB 和CKM_AES_CBC。
� Policy(策略)-由管理员做出的、要使哪些机制可用的选择。缺省情况下,所有提供
器和所有机制都可用。禁用任何机制即是对策略的应用。启用已禁用的机制也是对策略
的应用。
� Providers(提供器)-使用者使用的加密服务。提供器插入到框架中,因此也称为插
件。
提供器示例包括:
� PKCS #11 库,如pkcs11_softtoken.so
� 加密算法模块,如aes 和arcfour
� 设备驱动程序及其关联的硬件加速器,例如dca/0 加速器
� Slot(插槽)-一种或多种加密设备的接口。对应于物理读取器或其他设备接口的每个
插槽可能包含令牌。令牌提供框架中加密设备的逻辑视图。
� Token(令牌)-在插槽中,令牌提供框架中加密设备的逻辑视图。
Solaris 加密框架的范围
框架为给出提供器的管理员、用户和开发者提供命令:
� 管理命令-cryptoadm 命令提供用于列出可用提供器及其功能的list 子命令。普通用户
可以运行cryptoadm list 和cryptoadm --help 命令。
所有其他cryptoadm 子命令要求您承担包括加密管理权限配置文件的角色或者成为超级
用户。子命令(如disable、install 和uninstall)可用于管理框架。有关更多信息,
请参见cryptoadm(1M) 手册页。
svcadm 命令用于管理kcfd 守护进程和刷新内核中的加密策略。有关更多信息,请参见
svcadm(1M) 手册页。
� 用户级命令-digest 和mac 命令提供文件完整性服务。encrypt 和decrypt 命令保护文件
不被窃听。要使用这些命令,请参见第257 页中的“使用Solaris 加密框架保护文件(任
务列表)”。
阅读(369) | 评论(0) | 转发(0) |
