使用LSM实现自己的访问控制-wuyaalan-ChinaUnix博客

WuYaalan的ChinaUnix博客wuyaalan.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

WuYaalan

博客访问： 716040
博文数量： 67
博客积分： 994
博客等级：准尉
技术积分： 1749
用户组：普通用户
注册时间： 2011-08-03 14:10

文章分类

全部博文（67）

虚拟机（1）
QT（5）
linux内核调试（6）
用户与内核通信（0）
shell脚本（2）
能耗分析（1）
网络安全（5）
linux学习（17）
软件开发（1）
教育（0）
Android开发（1）
学习新路历程（2）
文学创作（1）
操作系统&数据结（12）
linux shell编程（1）
linux内核（6）
c&c++语言（5）
未分配的博文（1）

文章存档

2014年（11）

2013年（14）

2012年（14）

2011年（28）

我的朋友

相关博文

使用LSM实现自己的访问控制

分类：网络与安全

2013-05-14 11:19:23

首先对LSM 进行简单介绍。虽然linux下的各位基本都知道一些，但是还要罗嗦一下。
LSM中文全称是linux安全模块。英文全称：linux security module.
LSM是一种轻量级、通用的访问控制框架，适合多种访问控制模型以内核模块的形式实现。其特点是通用、简单、高效、支持POSIX。1e能力机制。
LSM的架构图如下：

通过系统调用进入内核之后，系统首先进行传统的权限检查（传统权限检查主要是基于用户的，用户通过验证之后就可以访问资源），通过之后才会进行强制访问控制。（强制访问控制是不允许主体干涉的一种访问控制，其采用安全标识、信息分级等信息敏感性进行访问控制。并且通过比较主体的级别和资源的敏感性来确定是否允许访问。比如说系统设置A用户不允许访问文件B，即便A是文件B的所有者，访问也是受限制的。）从图上看来，LSM实现访问控制主要通过安全模块的钩子函数实现。

LSM框架主要由五部分组成：这个网上资料很多。
在关键的特定内核数据结构中加入了安全域；
在内核源码中不同的关键点处插入对安全钩子函数的调用；
提供了一个通用的安全系统调用；
提供了注册和注销函数，使得访问控制策略可以以内核模块方式实现；
将capabilities逻辑的大部分功能移植为一个可选的安全模块。

我们这里重点结合源码对LSM框架进行解释。我使用的源码是3.5.4
首先介绍安全域字段，它是一个空类型的指针，在内核中的很多内核结构中都存在，比如inode、superblock、dentry、file等等。类型字段为void * security;
那么安全域怎么和安全模块中的信息关联起来？
当安全模块加载之后，安全域中的指针便指向安全模块中的安全信息。这里以selinux为例进行介绍。
内核里面security/selinux/include/objsec.h中定义了不同对象的安全信息，格式为XXX_security_strut.

上面的文件的安全信息里面包含打开文件描述符时的安全ID、文件所有者的安全ID等等。
要联系安全模块中安全信息和安全域需要几个控制钩子函数。这些钩子函数实现了对内核关键信息的设置和管理。这里主要介绍alloc_security、free_security。
selinux里面通过实现安全信息空间分配实现关联。比如以文件安全信息为例

这里分配空间成功之后，通过file->f_security = fsec实现了关联。

撤销关联是在安全模块卸载之后调用file_free_security.

这里具体通过设置file->f_secrity为NULL，然后释放安全信息结构实现。

现在来看看内核如何实现selinux的访问控制。这里主要就是实现LSM里面的钩子函数了。LSM里面给出了结构体security_operations，里面给出了很多钩子函数，实现了相关钩子函数就可以实现访问控制了。

上面的函数就实现了file_permission钩子函数。可以看下inode结构体的获得，感受内核是通过文件->目录项->inode。该函数主要实现自己的访问控制策略就OK 了。
哪selinux来说，在获得文件安全ID之后，主要对掩码和文件打开时相关的安全信息进行检测，符合就通过访问控制。

selinux基本实现了LSM里面的所有钩子函数，待钩子函数实现后，对LSM里面钩子域进行填充就OK了。

做完以上这些还需要注册安全模块到LSM，这里注册和注销使用了register_security和unregister_security。
比如selinux在注册时使用语句register_security(&selinux_ops)实现。

接下来通过上面的分析我们可以实现简单的基于LSM的访问控制。
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

static int lsm_test_file_permission(struct file *file,int mask)
{
   int path=0;
   struct file *filp;
   struct nameidata nd;

   path = path_lookup(FILENAME,LOOKUP_FOLLOW,&nd);

    if(!mask)
            return 0;

   if(path)
   {
       printk("lookup file failed!\n");
       return -1;
   }

   filp = filp_open("/home/yuyunchao/code/sb.c",O_RDONLY,0);
   {
   printk("open failed!\n");
   }
   return 0;
}

static struct security_operations lsm_test_security_ops = {
    .file_permission = lsm_test_file_permission,
};

static int __init lsm_file_init(void)
{
    if(register_security(&lsm_test_security_ops)){
        printk("register error ..........\n");
        return -1;
    }

    printk("lsm_file init..\n ");
    return 0;
}

static void __exit lsm_file_exit(void)
{
    if(unregister_security(&lsm_test_security_ops)){
        printk("unregister error................\n");
        return ;
    }

    printk("module exit.......\n");
}

MODULE_LICENSE("GPL");
module_init(lsm_file_init);
module_exit(lsm_file_exit);

阅读(9783) | 评论(4) | 转发(2) |

上一篇：sizeof和strlen之比较

下一篇：Linux中的加解密实现

给主人留下些什么吧！~~

lyforever11282014-10-13 14:23:51

您好，我最近也在学习LSM，但是由于周围没有同学会，因此进度很慢，仅有网上少许的资料。请问，LSM实现需要对内核做什么修改吗，是在security.h内吗。不是很懂，恳请您可以详细的给予帮助！如有打扰，实感抱歉！

回复 | 举报

WuYaalan2014-04-21 16:25:17

silentpebble：#make
#insmod
#dmesg
register error ..........

您实验的环境是什么？怎么我实验失败，请指教

要正常使用的话一种方式是在/proc/kallsyms里面找出对应函数的地址导出。或者修改内核导出函数重新编译内核！

回复 | 举报

WuYaalan2014-04-21 15:32:58

silentpebble：#make
#insmod
#dmesg
register error ..........

您实验的环境是什么？怎么我实验失败，请指教

这个实现当时实在2.6内核实现的，现在的3.x内核已经没有unregister_security函数了，并且在使用register_security时没有符号导出，也就是说不能直接在其他模块直接使用！

回复 | 举报

silentpebble2014-04-02 15:49:52

#make
#insmod
#dmesg
register error ..........

您实验的环境是什么？怎么我实验失败，请指教

回复 | 举报

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6