SMACK(Simplified Mandatory Access Control Kernel)的机制是类型增强(Type Enforcement),而没有去更贪心的实现基于角色的访问控制和多级安全,所以将其作为第二个学习的模块。
类型在SMACK中的具体体现是label,定义一个策略(规定主体可以对客体进行什么操作)的格式为
subjectlabel objectlabel access
结构体cred中的security指针会指向SMACK定义的数据结构task_smack的一个实例。
struct cred {
atomic_t usage;
kuid_t uid;
kgid_t gid;
kuid_t suid;
kgid_t sgid;
kuid_t euid;
kgid_t egid;
kuid_t fsuid;
kgid_t fsgid;
unsigned securebits;
kernel_cap_t cap_inheritable;
kernel_cap_t cap_permitted;
kernel_cap_t cap_effective;
kernel_cap_t cap_bset;
kernel_cap_t cap_ambient;
------------------------------------------------
#ifdef CONFIG_SECURITY
**void *security; **
#endif
-------------------------------------------------
struct user_struct *user;
struct user_namespace *user_ns;
struct group_info *group_info;
union {
int non_rcu;
struct rcu_head rcu;
};
} __randomize_layout;
struct task_struct{
......
const struct cred __rcu *ptracer_cred;
const struct cred __rcu *real_cred;
const struct cred __rcu *cred;
......
}
在SMACK中,客体包含进程、文件、进程间通信、套接字、密钥等,文件和套接字的标签来自扩展属性,其它的都来自创建他们的进程的标签。
SMACK定义了6种操作:读(r),写(w),执行(x),追加(a),变形(t),锁(l)
变形(transmute)是SMACK独立定义的一个操作,如果安全策略允许进程对目录进行w和t操作,并且新文件或新目录所在目录有SMACK64TRANSMUTE属性(为真),则新文件或新目录的安全标签的值=目录的安全标签值。否则为当前进程的安全标签值。
1.SMACK的工作机制 类型内的操作许可在SMACK中允许带有X标签的主体对带有Y标签的客体进行Z操作。操作有6种:读(r),写(w),执行(x),追加(a),变形(t),锁(l)。
类型转换类型转换解决的问题是标签的初始值是什么,在什么情况下可以改变成什么值。对应到源码中,类型转换就是安全标签的赋值操作。
主体(进程)的安全标签值有三个来源:
(1)进程复制时,子进程获得父进程的安全标签值。
(2)进程执行系统调用execve时,如果被执行文件有扩展属性security.SMACK64EXEC,则执行execve后,进程安全标签为被执行文件的扩展属性security.SMACK64EXEC的值。
(3)通过伪文件接口/proc/[pid]/attr/current改变进程的安全标签,这种方法只能改变进程自己的安全标签,需要进程具备CAP_MAC_ADMIN的能力,进程的安全标签等于SMACK内部变量smack_onlycap,或smack_onlycap为空。
客体的安全标签存储在task_smack中的一些成员变量(扩展属性)中,如文件的安全标签存储在扩展属性security.SMACK64中。
2.扩展属性SMACK过于简单的策略难以应付复杂的系统,所以引入了多个扩展属性:
(1)SMACK64:最基本的扩展属性,文件客体的安全标签来自此属性。
(2)SMACK64EXEC:当进程执行exec系统调用时,进程的新安全标签来自被执行文件的security.SMACK64EXEC属性。
(3)SMACK64TRANSMUTE:当此值为TRUE时,在此目录下新建的文件/目录的安全标签的值(SMACK64) 来自此目录的安全标签 (SMACK64) 。
《Linux内核安全模块深入剖析》
