[置顶] 强制访问控制内核模块Smack
Smack(Simplified Mandatory Access Control Kernel)是Casey Schaufler[15]于2007年在LSM基础上实现的Linux强制访问控制安全模块,它以内核安全补丁的形式存在于Linux操作系统中,其设计思想是利用LSM安全域将Linux内核中所有主体与客体都打上安全标签,并规定安全策略,只有符合安全策略的访问方式才被容许。与SELinux和DTE相比,Smack安全策略要简单得多,但却能实现它们相似的强制访问控制功能,并且Smack对内核性能损耗比较低,因此,Smack也逐渐被业界看好和推广。
2.4.1 Smack基本概念
1. 主体
Smack主体是指Linux内核进程。
2. 客体
Smack客体是指Linux内核客体对象,如文件、消息队列、套接字、共享内存、信号量等,客体也可以是Linux进程或者IPC。
3. 安全标签
Smack安全标签是C语言的字符串,但最多包含24个字符(包括‘/0’),Smack修改了进程task_struct安全域,在进程被初始创建时,其安全标签是“_”。同样,Smack修改了虚拟文件系统的inode和super_block安全域,使得文件系统被创建时所有文件的安全标签是“_”。
4. 访问方式
Smack最初版本的访问方式只有四种,即读(r或R)、写(w或W)、执行(x或X)、盲写(a或A)。其中,在进程之间通信中,一个进程发送消息或者数据包给另一个进程时,这样的操作属于写操作。
5. 安全策略
Smack的安全策略分为Smack内置的安全策略和用户可定制的安全策略。Smack内置的安全策略是指原本就已经被Smack访问控制代码所规定的,包括如下几条:
(1)安全标签是“*”的进程发起的任何形式的访问都被拒绝;
(2)安全标签是“^”的进程发起的读或执行的请求都被容许;
(3)任何进程对安全标签是“_”的客体发起的读或执行的请求都被容许;
(4)任何进程对安全标签是“*”的客体发起的任何形式的请求都被容许;
(5)如果主体和客体的安全标签相同,那么该主体对该客体发起的任何形式的访问都被容许。
除此之外,用户可以根据自己的安全需求,在主、客体安全标签都已经存在的前提下,通过“smackload”工具写入安全策略,例如:
(1) abc xyz rwxarW
(2) abc xyz rwr
(3) abc xyz _
smackload工具会自动配置访问方式的格式,(1)表示主体abc对客体xyz有读、写、执行、盲写的权限,(2)表示主体abc对客体xyz有读、写权限,(3)表示主体abc对客体xyz没有任何权限。当用户连续写入以上三条规则后,Smack会将相同主、客体的规则进行覆盖,最终,abc对xyz没有任何权限。
2.4.2 Smack源码分析
2007版本的smack源码[16]并不庞大,它被组织成了smack.h、smack_access.c、smack_lsm.c和smackfs.c四个源文件。下面本小节就针对这四个文件来分析Smack的实现原理。
1. Smack的结构体
由以上分析可以知道LSM的安全域是“void *security”,它可以指向任意类型的指针,正因为此,Smack定义了几个重要的结构体,使得内核对象的安全域指向它们,下表总结了LSM安全域和Smack结构体之间的对应关系:
内核对象 |
内核数据结构 |
安全域 |
Smack结构体 |
文件系统 |
super_block |
void *security |
superblock_smack |
管道、文件等 |
inode |
void *security |
inode_smack |
进程 |
task_struct |
void *security |
task_smack |
网络套接字 |
sock |
void *sk_security |
sockect_smack |
除此之外,结构体smack_rule表示访问规则,它以内核链表的形式存在于内存中,用户通过“smackload”工具每写入一个规则,这个规则就被插入到Smack规则链表中,规则结构体只会被插入或者替换,而不会被删除。结构体smack_known包含了smack安全标签以及与之对应的smack安全级别和cipso结构体。smack_cipso包含了cipso的安全级别和安全分类,smk_netlbladdr包含了主机IP地址以及与之对应的Smack安全标签。
2. Smack访问控制函数
Smack访问控制函数smk_access定义如下所示:
int smk_access(char *subject_label, char*object_label, int request);
smk_access首先根据Smack默认的五条访问规则进行判断,然后在Smack内核规则链表中去查找和参数主客体标签一致的结点,判断此结点的权限是否包含请求的权限request。访问控制函数smk_curacc用于判断当前进程对目标客体是否有访问权限,smk_curacc_on_task用来判断当前进程对目标进程是否有访问权限,它们最终是调用smk_access来进行访问控制。需要指出的是,smk_curacc可以被特权进程绕过,正因为此,Smack不能阻止超级用户或特权进程的一切行为。
3.Smack的LSM内核
Smack是在LSM的基础上实现钩子函数以达到强制访问控制的目的,下表总结了Smack访问控制对象及其相应的钩子函数:
主体 |
客体 |
控制行为 |
钩子函数 |
要求权限 |
当前进程 |
目标进程 |
setpgid |
smack_task_setpgid |
写 |
当前进程 |
目标进程 |
getpgid |
smack_task_getpgid |
读 |
当前进程 |
目标进程 |
getsid |
smack_task_getsid |
读 |
当前进程 |
目标进程 |
setnice |
smack_task_setnice |
写 |
当前进程 |
目标进程 |
setioprio |
smack_task_setioprio |
写 |
当前进程 |
目标进程 |
getioprio |
smack_task_getioprio |
读 |
当前进程 |
目标进程 |
setscheduler |
smack_task_setscheduler |
写 |
当前进程 |
目标进程 |
getscheduler |
smack_task_getscheduler |
读 |
当前进程 |
目标进程 |
movememory |
smack_task_movememory |
写 |
当前进程 |
目标进程 |
kill |
smack_task_kill |
写 |
当前进程 |
目标进程 |
wait |
smack_task_wait |
写 |
主体 |
客体 |
控制行为 |
钩子函数 |
要求权限 |
当前进程 |
目标文件 |
ioctl |
smack_file_ioctl |
根据请求方式 |
当前进程 |
目标文件 |
lock |
smack_file_lock |
写 |
当前进程 |
目标文件 |
fcntl |
smack_file_fcntl |
根据请求方式 |
当前文件 |
目标进程 |
send_sigiotask |
smack_file_send_sigiotask |
写 |
当前进程 |
目标文件 |
file_receive |
smack_file_receive |
根据请求方式 |
源套接字 |
目标套接字 |
netlabel_send |
smack_netlabel_send |
写 |
源套接字 |
目标套接字 |
socket_connect |
smack_socket_connect |
写 |
当前进程 |
共享内存 |
shm_associate |
smack_shm_associate |
根据请求方式 |
当前进程 |
共享内存 |
shm_shmctl |
smack_shm_shmctl |
根据请求方式 |
当前进程 |
共享内存 |
shm_shmat |
smack_shm_shmat |
根据请求方式 |
当前进程 |
信号量 |
sem_associate |
smack_sem_associate |
根据请求方式 |
当前进程 |
信号量 |
sem_semctl |
smack_sem_semctl |
根据请求方式 |
当前进程 |
信号量 |
sem_semop |
smack_sem_semop |
读和写 |
当前进程 |
消息队列 |
msgctl |
smack_msg_queue_msgctl |
根据请求方式 |
当前进程 |
消息队列 |
msgsnd |
smack_msg_queue_msgsnd |
根据请求方式 |
当前进程 |
IPC |
ipc_permission |
smack_ipc_permission |
根据请求方式 |
源套接字 |
目标套接字 |
unix_stream_connect |
smack_unix_stream_connect |
读和写 |
源套接字 |
目标套接字 |
unix_may_send |
smack_unix_may_send |
写 |
源套接字 |
目标套接字 |
socket_sendmsg |
smack_socket_sendmsg |
写 |
目标套接字 |
源套接字 |
sock_rcv_skb |
smack_socket_sock_rcv_skb |
写 |
正如上表所示,Smack是在LSM基础上实现了对进程、文件、套接字、共享内存、消息队列、信号量等的控制。Smack的访问控制非常简单,就是检查主体对客体有没有Smack访问方式,除此之外,Smack使用了钩子函数为进程和文件设置安全标签。当把Smack编译进Linux内核后,Linux操作系统上所有文件和进程默认的安全标签都是“_”。只有特权进程才能改变自身的安全标签,只有特权进程才能设置文件的安全标签。一个进程无法改变另一个进程的安全标签。当父进程创建子进程时,子进程的安全标签就是父进程的安全标签。当一个进程创建文件时,这些文件的安全标签就是进程的安全标签。当一个进程创建套接字时,套接字的安全标签就是该进程的安全标签。当两个进程要通过网络进行通信时,发送和接收IP包的进程必须对彼此都有写权限。
4. Smack的虚拟文件系统
smack_access.c和smack_lsm.c构成了Smack强制访问控制机制,但强制访问控制机制是需要安全策略数据库的支持,为此,Smack采取了虚拟文件系统作为其安全策略存储系统,这样Smack决策时间会很短,但这也就意味着,一旦计算机系统重新启动,需求人为得再次设定安全策略。Smack文件系统位于“/smack”目录下,包含了load、cipso、doi、direct、ambient、netlabel、onlycap和logging这几个虚拟文件,它们被组织成Linux内核链表形式,其中最常用到的是load、cipso和netlabel。load文件存放了Smack的安全策略,cipso存放cipso值,包括安全级别和安全分类,netlabel存放了主机的IP地址和其相关的Smack标签,cipso和netlabel用于Smack网络通信控制。Smack重写文件系统操作函数,并使用注册文件系统、挂载文件系统和初始化系统调用等内核API来实现虚拟文件系统。
2.4.3 Android内核的Smack编译
Smack内核代码除了上面介绍的四个文件外,还有makefile和Kconfig两个文件。makefile文件设定了Smack内核编译规则,而Kconfig文件指定了Smack的配置信息,其中就有一项是“bool simplified mandatoryaccess control kernel depend on NETLABEL & SECURITY_NETWORK”,从这条信息中可以看出,要想编译Smack,Android内核必须配置“NETLABEL”和“SECURITY_NETWORK”两项。
本节以panda内核为例演示编译Smack内核的过程,首先从Google官网或pandaboard官网上下载panda内核,解压后会有panda/kernel-ics-chipsee-panda文件夹。
1. 打开“shell”,输入指令“cdpanda/kernel-ics-chipsee-panda,cd arch/arm/configs”,找到目录下的缺省配置文件panda_chinese_def;
2. 在终端上输入指令“vim panda_chinese_def”,打开此配置文件,经过查找,可以发现这个文件里没有配置“NETLABEL”和“SECURITY_NETWORK”两项,这也是Smack没有被编译进panda内核的原因;
3. 用vim添加配置信息,如下所示:
4. 保存退出后,输入如下指令:
以上指令也同样适用于模拟器内核编译,需要强调的是,在编译Smack之前,要确保panda内核或模拟器内核已经配置了ext2或ext4或者支持扩展属性的yaffs2文件系统,否则Smack无法正常运行。为了验证Smack确实在Android系统上发挥了效果,本小节给出一个实验进行验证。
1. 实验环境:
软件环境为Ubuntu10.04,编译好的Android4.0源码和goldfish内核。
2. 实验过程:
(1)编写getsmk.c源码,getsmk.c输入是命令行参数,输出是文件的安全标签;
(2)在Android源码目录下新建getsmk文件夹,并将getsmk.c拷贝到给文件夹下,编写Android.mk文件,让getsmk能够被交叉编译;
(3)使用如下指令来启动模拟器:
“emulator –sdcard/host/android4.0/sdcard.img –kernel/host/android4.0/kernel/goldfish/arch/arm/boot/zImage”
(4)等待模拟器运行正常后,打开终端shell,使用“adb push”指令将可执行文件getsmk拷贝到“/data”目录下,随机选择文件,进行测试,测试结果如下:
3. 实验结论:
Smack会在系统初始化时使用钩子函数smack_d_instantiate将Linux系统所有文件和进程的安全标签都设置为“_”,因此,通过以上实验,smack确实在Android系统上生效了。