SELinux安全策略和探释

本文就Linux操作系统中Fedora13 Linux和Red Hat Enterprise Linux的安全问题进行了探究。对传统的Linux OS在安全问题上存在着不足,通过应用SELinux的安全策略,对传统LinuxOS的安全进行加固处理。以解决传统LinuxOS的安全问题。     

SELinux在网络服务安全中的研究与分析

由于网络的不断发展和Linux的普及,Linux安全问题成为重要话题。为了解决root（根用户）权限过大而造成的安全威胁,SELinux（安全增强型Linux）采用强制访问控制机制,限制用户程序和系统服务用最小权限完成最大安全。阐述SELinux与标准Linux在访问控制机制上的不同,详细分析在各项网络服务中SELinux是如何加强系统安全防护。     

SELinux的安全机制和安全模型

SELinux是美国安全局发布的一个集成在Linux内核中的新型强制访问控制(MAC)机制。为了提供细粒度的访问控制,SELinux采用RBAC模型和TE模型为主体和客体之间的交互设计了大量的安全策略,有效解决了自主访问控制(DAC)的脆弱性和传统MAC的不灵活性等问题。详细研究了SELinux的体系结构、安全模型和安全上下文,并以Apache服务器为例,介绍了如何定制SELinux以实现安全增强。     

SELinux安全机制和安全目的研究

SELinux在Linux中实现了高强度但又灵活的强制访问控制(MAC)体制，提供基于机密性和完整性的信息隔离．能对抗欺骗和试图旁路安全机制的威胁．限制了因恶意代码和应用程序缺陷造成的危害。SELinux支持多种安全策略模型，支持策略的灵活改变．使用类型裁决和基于角色的访问控制来配置系统。文章给出了SELinux体系结构和安全模型，表述了安全加强的Linux是如何支持策略的灵活性和如何配置访问控制策略来满足通用操作系统的安全要求．     

探索Linux内核级安全增强系统的精彩之旅

本文首先考察Linux系统本身具有的安全功能及其不足,然后逐一介绍现有的Linux内核级安 全增强系统,包括SELinux、RSBAC、LIDS等等,带领读者踏上探索这些Linux内核级安全增强系统的精彩 之旅,并且给读者提供一份简明扼要的旅行地图。     

SELinux特权用户管理的设计与应用

分析SELinux体系在当前Linux类操作系统中的应用,基于角色的访问控制模型与可信计算,提出新的特权用户标识定义,利用该定义给出一种安全Linux操作系统特权用户管理方案。通过UID与角色的二维标识方法解决特权用户区分的问题,以可信计算中的密码服务加强认证的安全强度,用内核安全加固解决安全模式切换问题,从而改进SELinux在Linux类操作系统中的安全性。     

探索Linux内核级安全增强系统的精彩之旅

本文首先考察Linux系统本身具有的安全功能及其不足，然后逐一介绍现有的Linux内核级安全增强系统，包括SELinux、RSBAC、LIDS等等，带领读者踏上探索这些Linux内核级安全增强系统的精彩之旅，并且给读者提供一份简明扼要的旅行地图。     

信任特征在SELinux策略服务器中的设计与应用

对SELinux策略服务器在安全性和脆弱性方面存在的问题进行分析,基于可信计算提出信任特征的概念,将其引入到SELinux策略服务器的设计中,给出一种基于信任特征的SELinux策略服务器体系结构。通过用户空间安全服务器与策略管理服务器的构建解决脆弱性问题,提供可信实体信任特征,解决安全性问题,有效完善了SELinux体系结构。     

基于有色Petri网的SELinux安全策略自动化分析

SELinux是嵌入到Linux内核中并得到推广应用的安全增强模块。由于其安全策略配置复杂且工作量较大,故而研究相关的安全策略辅助配置手段及SELinux安全策略的自动化分析方法与技术很有必要。本文基于有色Petri网建立了SELinux安全策略的自动化分析模型,给出了原型实现和测试结果。相关结果表明,有色Petri网分析方法和对应原型能较好地完成SELinux安全策略的有效性分析,并可实现带有中间过滤类型的信息流查询且更加方便简洁。     

品尝2.6内核

Fedora Core2是第一款围绕Linux2.6内核开发的Linux产品(红帽的企业Linux要到今年秋季的版本4中才使用新内核),eWEEK实验室在几个不同的系统上测试了Fedora Core2Test1版本,我们对它的平滑性与稳定性有了初步的印象。我们发现,与Fedora Core1相比,新的Fedora应用,像KDE Project的KDE3.2和GNOME Project的GNOME2.5.3的性能有了很大的提高。另一个FedoraCore2Test1的新系统是上月推出的SELinux,它是美国国家安全局开发的安全架构。Fedora Core2包括了对SELinux的基本支持,但只有一些而已。我们认为,SELinux将在Fedora中全…     

SELinux中访问控制机制的分析

SELinux是美国国家安全委员会组织开发出的一种新型安全操作系统，它采用了一种与现有的Linux操作系统不同的访问控制机制“该文对这种访问控制机制进行了分析，并指出了其优点以及下一步改进的目标。     

嵌入式系统中的SMACK应用研究

介绍强制访问控制(MAC)方法和在Linux主流内核版本中MAC主要的实现技术,包括SELinux和SMACK。将SMACK应用到典型的嵌入式设备?——智能手机上,通过定义SMACK规则为第三方软件构造沙盒。测试结果表明,与SELinux相比,SMACK具有较少的内存消耗和较高的运行效率,更适用于嵌入式系统。     

通用软件封装器在Linux中强制访问控制的实现

基于Linux系统设计并实现的通用软件封装器是一个可实现多种安全措施的通用平台,如访问控制、入侵检测等.重点阐述了利用通用软件封装器在Linux中实现强制访问控制的机制,并与SELinux进行了详细的比较.给出了实验结果并进行了分析,结果达到预期目的.     

AMCheX:Accurate Analysis of Missing-Check Bugs for Linux Kernel

The Linux kernel adopts a large number of security checks to prevent security-sensitive operations from being executed under unsafe conditions.If a security-sensitive operation is unchecked,a missing-check issue arises.Missing check is a class of severe bugs in software programs especially in operating system kernels,which may cause a variety of security issues,such as out-of-bound accesses,permission bypasses,and privilege escalations.Due to the lack of security specifications,how to automatically identify security-sensitive operations and their required security checks in the Linux kernel becomes a challenge for missing-check analysis.In this paper,we present an accurate missing-check analysis method for Linux kernel,which can automatically infer possible security-sensitive operations.Particularly,we first automatically identify all possible security check functions of Linux.Then according to their callsites,a two-direction analysis method is leveraged to identify possible security-sensitive operations.A missing-check bug is reported when the security-sensitive operation is not protected by its corresponding security check.We have implemented our method as a tool,named AMCheX,on top of the LLVM(Low Level Virtual Machine) framework and evaluated it on the Linux kernel.AMCheX reported 12 new missing-check bugs which can cause security issues.Five of them have been confirmed by Linux maintainers.     

强制访问控制在Windows上实施框架的研究与改进

计算机技术发展至今,安全问题一直处于风头浪尖之中。目前针对安全问题,一些技术方法应运而生,主动防御,侦测与反侦测等,而且可以在系统中不同的层次上实现,应用层和内核层。而本文是在系统级别上进行探索,比如linux,现在已有成熟的安全版本selinux操作系统。针对Windows操作系统,对强制访问控制进行了相关研究,对系统的效率性,兼容性,稳定性等提出了改进方案。     

安全操作系统核心审计模块设计

提高操作系统自身的安全性是增强系统安全的关键因素，审计子系统又是安全操作系统的重要组成部分。基于NSA的SELinux的审计子系统，提出了一种集中审计的框架结构，然后阐述了内核部分设计的主要构思，最后对于在实现上的关键点进行了说明。