【摘要】:内核对于系统的重要性是不言而喻的。Linux内核安全的开发开始得还是比较早的,约始于20世纪90年代中后期。经过近二十年的开发,Linux内核中安全相关的模块还是很全面的,有用于强制访问控制的LSM,有用于完整性保护的IMA和EVM,有用于加密的密钥管理模块和加密算法库,还有日志和审计模块,以及一些零碎的安全增强特性。最典型的是Linux内核中基于能力的特权机制,时至今日,广大应用程序的开发者不仅没用它,甚至根本不知道它的存在!
内核对于系统的重要性是不言而喻的。Linux内核安全的开发开始得还是比较早的,约始于20世纪90年代中后期。经过近二十年的开发,Linux内核中安全相关的模块还是很全面的,有用于强制访问控制的LSM(Linux Security Module),有用于完整性保护的IMA(Integrity Measurement Architecture)和EVM(Extended Verification Module),有用于加密的密钥管理模块和加密算法库,还有日志和审计模块,以及一些零碎的安全增强特性。
说起来安全功能是很多的。但是问题也有,其一是应用问题,这些安全功能还是没有被广泛地应用起来。最典型的是Linux内核中基于能力的特权机制,时至今日,广大应用程序的开发者不仅没用它,甚至根本不知道它的存在!其二是整合问题。攻与防的区别在于,攻击只求一点突破即可,防守则要保证整条防线。内核各个安全模块散布于内核多个子系统之中,如何整合各个安全子模块来整体加固系统的安全是一个不小的挑战。
[1]On the Security of Unix,Dennis M.Ritchie,ftp://ftp.club-ix.farlep.net/pub/doc/security/info/unix-security.ps.gz(www.xing528.com)
[2]Looking Back at the Bell-La Padula Model,David Elliott Bell,http://www.acsac.org/2005/papers/Bell.pdf
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
