Linux安全模块的设计与实现

Linux安全模块是为Linux内核开发的一款轻量级的通用访问控制框架 ,这种访问控制框架能使许多的访问控制模型作为动态内核模块执行。文中阐述了Linux安全模块的设计思路以及实现方法 。

基于LSM框架构建Linux安全模块

操作系统安全是信息安全的一个重要方向。Linux安全模块(LSM)为Linux操作系统内核支持多个安全模块提供了有力的支持。首先介绍了LSM的实现机制,详细分析了它的关键技术。然后,以一个具体的安全模块为例,描述了如何使用LSM机制在Linux操作系统中完成一个简单的安全模块的开发。介绍了安全模型构建的过程,并对它的安全性进行了讨论。使用LSM框架可以使得操作系统灵活的支持和采用各种不同的安全策略,提高系统的安全性。

构建Linux安全模块

Linux安全模块(LSM)为Linux操作系统内核支持多个安全模块提供了有力的支持。本文首先介绍了LSM的实现机制,详细分析了它的关键技术。然后,以一个简单的安全模块为例,描述了如何使用LSM机制在Linux操作系统中完成一个简单的安全模块的开发。使用LSM框架可以使得操作系统灵活的支持和采用各种不同的安全策略,提高系统的安全性。

Linux安全模块框架的研究和安全日志的实现

Linux安全模块(LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架,它提供了内核级的编程接口,已有多种不同的访问控制模型可以装载内核模块的形式在LSM框架上实现。对LSM的工作机制进行了研究,并实现了安全日志策略。

一种基于Linux安全模块的第三方日志系统

Linux安全模块(Linux SecurityModule,LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架,它提供了内核级的编程接口。通过LSM可以非常方便地实现对内核数据的各种访问控制机制。虽然LSM没有显式地提供对安全审计的支持,但它所提供的各种接口十分有利于记录各种内核信息。主要研究在LSM框架基础上的日志记录和审计系统。通过对LSM的研究,设计了一个第三方日志系统,实现了信息记录和安全审计。

Linux安全模块实现的研究

直到2.6内核的出现,Linux操作系统一直缺乏对安全机制融入内核的普遍支持,Linux安全模块(Linux Securiy Module)可以克服这个缺陷。对LSM的体系结构、安全域和钩子函数以及能力模块进行了研究,探讨了LSM如何作为一个基本框架将Linux内核与具体的安全模块相结合,从而提高Linux操作系统的安全性。

Linux安全模块在安全审计系统中的应用

安全审计是保障计算机系统本地安全和网络安全的重要技术,通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息.为了满足各类应用对Linux平台安全性的要求,Linus Torvalds提出了轻量级、通用的访问控制框架LSM.据此,利用LSM框架提供的安全模块可装载性和编程接口,实现了细粒度、可移植、高安全性的安全审计系统.

基于LSM架构对Linux文件系统进行安全性增强

Linux内核只提供了经典的UNIX自主访问控制。Linux安全模块(LSM)是Linux内核的一个轻量级通用访问控制框架,它使得各种不同的安全访问控制模型能够以Linux可加载内核模块的形式实现出来。首先对Linux安全模块(LSM)的实现机制和接口进行了介绍,然后提出了一种对Linux文件系统的基于LSM架构的强访问控制增强,同时改进了LSM机制引入了多级安全策略的机制。

支持增强Linux安全性的多个安全策略模型的统一框架(英文)

首先分析Linux系统中两种主要安全机制的局限性.然后,给出SECIMOS的构建,简介了各个安全策略模型及其实现模块,并描述结合多个安全模块的方法.最后,给出了SECIMOS的性能参数和与其他安全项目之间的比较.

基于Linux文件系统安全性的LSM框架的研究

安全操作系统是信息安全技术的基础,而文件系统是操作系统的重要组成部分。本文以Linux安全模块LSM(Linux Security Module)的实现机制分析为基础,详细阐述了安全模块接口中的文件系统钩子函数的实现机制。

采用MAC技术的嵌入式Linux安全增强技术研究

文章采用强制访问控制技术对嵌入式Linux操作系统进行了安全增强。在嵌入式Linux内核、命令集和文件系统等主要模块中添加MAC机制,根据嵌入式系统特征对安全策略库进行精简,通过大量的实验对系统的安全功能进行测试和验证。此技术可有效地限制root权限,并对重要数据和文件的安全性进行保护,同时可以防止系统关键模块被篡改,保障系统的完整性,最终提高了嵌入式Linux系统的安全性。

基于访问控制空间的多策略安全体系结构

为解决LSM在策略重用和策略共存方面存在的问题,提出了一个新的安全体系结构ELSM,它引入一个模型组合器作为主模块实施模块堆栈管理和模块决策管理,其中模块决策的实施采用了访问控制空间的策略规范方法,可支持通用性,ELSM的设计及其在安胜OS安全操作系统中的实例分析表明其有效性。

访问控制框架及其在Linux中的应用研究

简要介绍了ISO通用访问控制框架,比较详细地阐述和分析了当前几种主要的访问控制框架理论及其在Linux中的实现,对这几种访问控制框架的相同点和不同点进行了比较,最后指出了这些访问控制框架存在的一些问题及今后的发展趋势。

基于Linux驱动级内核访问监控技术研究与实现

针对POSIX.1e标准的权能模块的缺陷进行了改进,在Linux内核安全模块(LSM)框架基础上,加载改进的模块,对操作系统内核层进行监听和控制处理,完成进程信任状特权仲裁、安全i节点(i-node)操作、信息队列反馈等一系列操作,最后调用字符设备反馈监控信息到应用层进行安全控制处理。实验表明,改进方案与加载原有权能模块Linux内核的方法相比,不仅在系统的运行效率、监控的正确率和系统扫描覆盖率上有所提高,而且在系统资源占用率等多项指标中都显示其具有良好的监控性能。

基于集群系统的分布式安全框架研究及实施

开源的安全项目Linux安全模块(LSM)、分布式安全框架(DSI)为研究分布式集群系统中的分布式安全性提供了良好平台。介绍了LSM和DSI的实现原理,并在此基础上讨论了分布式安全模块的目标、体系结构、特点、性能以及实现状态。

基于Linux的强制访问控制研究

本文围绕安全操作系统中强制访问控制部分的理论和研究,自行构建了Linux系统的强制访问控制机制。该机制支持BLP修改模型的多级安全策略,其构建参考了GFAC和LSM等访问控制模型。内容包括总体设计思路、安全策略和安全信息的形式化、关键函数的实现等。

设计和实现基于UsbKey的透明加解密文件系统

加密文件系统是在操作系统级保护系统和防止用户敏感数据泄漏的一种有效手段。首先对几个著名的加密文件系统地进行了分析,并指出其在使用方式、密钥保护、配置管理以及性能方面存在的问题,而后从设计目标、系统组成、实现三个方面分析和讨论了一种基于UsbKey的透明加解密文件系统的实现方案,该方案基于Linux操作系统,使用UsbKey对于用户密钥进行安全存储和保护,并利用LSM(Linux Secure Module)机制,通过对于inode节点的读、写等关键操作的重定向,来实现文件的透明加解密的功能。本文对于Linux操作系统下的透明加解密文件系统的设计与实现具有一定的指导意义。

基于LSM的程序行为控制研究

程序行为控制作为一种主动检测机制,主要在4个方面进行研究:审计数据源选择、行为描述、正常行为模式的建立与行为匹配.对事件序列模型作了深入研究,提出了采用另外一种与系统调用完全不同的数据源——LSM(Linuxsecuritymodules,简称Linux安全模块)截获点,并从理论和实践两个方面来验证LSM数据源的有效性,即基于信息理论的数据质量分析和实际系统的运行结果分析.结果表明,由于LSM数据源的粒度更细以及和安全更相关,使得它更适合作为事件序列模型的审计事件.

一种基于可信计算的分布式使用控制系统

随着互联网络等分布式环境的发展,如何控制已经分发的数据成为一个重要的安全问题.最近提出的使用控制概念和模型虽然适用于描述该类问题,但其实施机制研究仍处于起步阶段.文中给出一种基于可信计算技术的分布式使用控制系统,有效地支持和实现了使用控制模型的3个特点:丰富的策略决策因素、控制的持续性和主客体属性的变异性.实验证明该方案具有较高性能,是一种分布式计算环境下的行之有效的使用控制实施解决方案.

基于LSM的轻量级透明加密设计与实现

为了防止数据失窃需要对敏感数据进行加解密处理,提出一种基于Linux安全模块框架的轻量级透明加密方法。该方法主要是对文件进行写操作时,使用LSM钩子实现对文件的加密操作;当用户试图读取文件时触发内核读系统调用服务例程并在该例程中实现文件的解密操作。测试结果发现基于LSM的透明加密在确保数据安全的情况下对读写性能影响不大。