分类: LINUX
2008-05-02 16:17:32
安全增强式Linux(Security Enhanced Linux,SELinux)应该被指定为Linux唯一的安全框架吗?
也许大多数安全专家会认同SELinux的高品质,而支持者们则认为它是Linux内核唯一需要的安全框架。这些支持者们宣称,它事实上会让 Linux安全模块(Linux Security Module,LSM)没必要继续存在。LSM是一个开放式平台,供外部开发者构造自己的Linux安全框架。
这个观点引起了Linux内核维护负责人Linus Torvalds的不满。
“我现在听到了一种说法,即‘SELinux就是一切’,所以应该移除LSM。‘这种说法存在问题’,”他写道。对最后一句话的强调显示了他的不满。
SELinux最初是由美国国家安全局开发的,它提供了一种强制访问控制(MAC)的架构,使计算机用户只能根据自己被指派的安全级别去访问标明可用的服务。
这场争论开始于本月初,当时红帽公司的SELinux开发者James Morris在Linux内核邮件列表上宣称SELinux应该成为Linux事实上的安全框架。他说SELinux让LSM没有了存在的必要,并要求从内核树中移除LSM。
Morris抱怨说LSM非常有碍于Linux的安全。它是一个“吸引各种坏主意的磁铁”,Morris写道。
其它的Linux安全框架,例如Novell公司的AppArmor以及开源的Smack,都是基于LSM的。
“如果LSM继续保留,安全将永远无法成为Linxu内核中的一流公民。应用程序开发者将看到多种不同的安全架构,他们要么耗尽精力去支持这些不同的架构,要么(更有可能地)对这些架构忽略不见,”Morris写道。
包括Torvalds在内的其他人则认为没必要从内核中移除LSM。
昨晚,另一位开发者Thomas Fricaccia主张说,“一个自由开放的操作系统应该为最终用户保留尽可能多的自由……‘自由’的含义包括有权去做糟糕的事情,例如对安全框架做出不恰当的选择。这种可能的选择结果是被允许的,不应该是内核开发者的关注点。”
有不少人甚至认为Morris的说法是一种宣传手段,是为了把所有Linux安全相关的开发都集中到SELinux身上。
在邮件列表中,Torvalds说他对为什么要移除LSM的讨论保持一种开放的态度,但他怀疑有没有人能给出一个前后一致的论证。他批评了 SELinux的一些支持者,认为他们只是在理论层面上进行争论,而没有用确凿的数据来证明他们的观点。他强调说,还有太多关于什么是一个优秀框架的争论,这让他觉得目前对SELinux的看法绝不是一个定论。
“对于安全问题,我发现人们在进行‘白痴似的’争论,”他在邮件中写道。“例如,一些安全人士仍在争论‘inodes’与‘pathnames’哪个更好,好像这是一个非此即彼的问题……如果一个人非要两者择一,他就有些不够称职了。”