SELinux

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 1 de junio de 2018; las comprobaciones requieren 9 ediciones .

SELinux
GUI de administración de SELinux en Fedora 8
Tipo de	La seguridad
Desarrollador	sombrero rojo
Escrito en	xi
Sistema operativo	Componente del kernel de Linux
Primera edición	1998
ultima versión	3.4 ( 18 de mayo de 2022 ) [2]
candidato de lanzamiento	2.9-rc2 ( 28 de febrero de 2019 ) [1]
Licencia	GNU GPL
Sitio web	selinuxproject.org
Archivos multimedia en Wikimedia Commons

SELinux ( English  Security-Enhanced Linux - Linux con seguridad mejorada) es una implementación de un sistema de control de acceso forzado que puede funcionar en paralelo con un sistema de control de acceso selectivo clásico .

Breve descripción

Al permanecer dentro de un sistema de control de acceso selectivo , el sistema operativo tiene una limitación fundamental en términos de compartir el proceso de acceso a los recursos: el acceso a los recursos se basa en los derechos de acceso de los usuarios. Estos son derechos clásicos rwxen tres niveles: propietario, grupo de propietarios y otros.

En SELinux, los derechos de acceso los determina el propio sistema utilizando políticas especialmente definidas. Las políticas operan en el nivel de llamada del sistema y son aplicadas por el propio kernel (pero también pueden implementarse en el nivel de la aplicación). SELinux opera según el modelo de seguridad clásico de Linux. En otras palabras, no puede permitir a través de SELinux lo que está prohibido a través de permisos de usuario o grupo. Las políticas se describen utilizando un lenguaje flexible especial para describir las reglas de acceso. En la mayoría de los casos, las reglas de SELinux son "transparentes" para las aplicaciones y no se requiere ninguna modificación. Algunas distribuciones incluyen políticas listas para usar en las que los derechos se pueden determinar en función de una coincidencia entre los tipos de proceso (sujeto) y archivo (objeto); este es el mecanismo principal de SELinux. Otras dos formas de control de acceso son el acceso basado en roles y el acceso basado en seguridad. Por ejemplo, " DSP ", "secreto", "ultrasecreto", " OV ".

El tipo de política más fácil de trabajar y mantener es la llamada política "dirigida" desarrollada por el proyecto Fedora . La política describe más de 200 procesos que pueden ejecutarse en el sistema operativo. Todo lo que no está descrito por la política de "objetivo" se realiza en el dominio (con tipo) unconfined_t. Los procesos que se ejecutan en este dominio no están protegidos por SELinux. Así, todas las aplicaciones de los usuarios de terceros funcionarán sin problemas en un sistema con una política “dirigida” dentro de los permisos clásicos de un sistema de control de acceso selectivo.

Además de la política "dirigida", algunas distribuciones incluyen una política con un modelo de seguridad en capas (compatible con el modelo Bell-LaPadula ).

La tercera opción de política es "estricta". Aquí se aplica el principio “lo que no está permitido está prohibido” ( principio de mínimos derechos ). La política se basa en la Política de referencia de Tresys .

SELinux fue desarrollado por la Agencia de Seguridad Nacional de EE. UU. , y luego su código fuente estuvo disponible para su descarga.

Texto original  (inglés)[ mostrarocultar] Del equipo de Linux con seguridad mejorada de la NSA :

NSA Security-enhanced Linux es un conjunto de parches para el kernel de Linux y algunas utilidades para incorporar una arquitectura de control de acceso obligatorio (MAC) sólida y flexible en los principales subsistemas del kernel. Proporciona un mecanismo para hacer cumplir la separación de la información en función de los requisitos de confidencialidad e integridad, lo que permite abordar las amenazas de manipulación y elusión de los mecanismos de seguridad de la aplicación y permite limitar el daño que pueden causar las aplicaciones maliciosas o defectuosas. Incluye un conjunto de archivos de configuración de políticas de seguridad de muestra diseñados para cumplir objetivos de seguridad comunes y de propósito general".

SELinux está incluido en el kernel de Linux (desde la versión 2.6).

Además, SELinux requiere versiones modificadas de algunas utilidades ( ps , ls y otras) que brindan soporte para nuevas funciones del kernel y soporte del sistema de archivos.

Conceptos básicos

• Un dominio es un conjunto de acciones que un proceso puede realizar. Básicamente, estas son las acciones que un proceso necesita para realizar una tarea específica.

• Un rol es una colección de varios dominios.

• Un contexto de seguridad es la colección de todos los atributos que están asociados con objetos y sujetos.

• Una política de seguridad es un conjunto de reglas predefinidas que rigen la interacción de roles y dominios.

Descripción general de LSM

LSM ( Módulos de seguridad de Linux en inglés -  Módulos de seguridad de Linux) se implementan en forma de módulos de kernel cargables. Principalmente, los LSM se utilizan para admitir el control de acceso. Por sí mismos, los LSM no proporcionan al sistema ninguna seguridad adicional, sino que solo sirven como una especie de interfaz para soportarlo. El sistema LSM proporciona la implementación de funciones de interceptor, que se almacenan en una estructura de política de seguridad que cubre las principales operaciones que deben protegerse. El control de acceso al sistema se realiza gracias a las políticas configuradas.

Métodos de control de acceso

La mayoría de los sistemas operativos tienen funciones y métodos de control de acceso que, a su vez, determinan si una entidad a nivel del sistema operativo (usuario o programa) puede acceder a un recurso en particular. Se utilizan los siguientes métodos de control de acceso:

• Control de acceso discrecional ( DAC) .  Este método implementa la restricción de acceso a los objetos en función de los grupos a los que pertenecen. En Linux, este método se basa en el modelo estándar de control de acceso a archivos. Los derechos de acceso se definen para las siguientes categorías: usuario (propietario del archivo), grupo (todos los usuarios que son miembros del grupo), otros (todos los usuarios que no son propietarios del archivo ni miembros del grupo). Además, se otorgan los siguientes derechos a cada uno de los grupos: derechos de escritura, de lectura y de ejecución.

• Control de Acceso Obligatorio ( MAC) .  La esencia principal de este método es establecer ciertos derechos de acceso del sujeto a ciertos objetos. El sistema operativo implementa lo siguiente: el programa tiene solo las características que necesita para realizar sus tareas, y nada más. Este método tiene una ventaja sobre el anterior; si se encuentra una vulnerabilidad en un programa, su acceso será muy limitado.

• Control de acceso basado en roles ( RBAC ) .  Los derechos de acceso se implementan en forma de roles emitidos por el sistema de seguridad. Los roles representan ciertos poderes para realizar acciones específicas por parte de un grupo de sujetos sobre objetos en el sistema. Esta política es una mejora del control de acceso discrecional.

Arquitectura interna de SELinux

Al comienzo de su aparición, SELinux se implementó como un parche. En este caso, no fue fácil configurar la política de seguridad. Con la llegada de los mecanismos LSM, la configuración y administración de la seguridad se ha simplificado enormemente (se han separado los mecanismos de cumplimiento de políticas y seguridad), SELinux se ha implementado como complementos del núcleo. Antes de acceder a los objetos internos del sistema operativo, se cambia el código del kernel. Esto se implementa utilizando funciones especiales ( interceptores de llamadas del sistema ) , las llamadas funciones de gancho .  Las funciones de los interceptores se almacenan en alguna estructura de datos, su finalidad es realizar determinadas acciones de seguridad en base a una política preestablecida. El módulo en sí incluye seis componentes principales: un servidor de seguridad; acceder a la memoria caché vectorial ( ing. Acceder a la memoria caché vectorial , AVC); tablas de interfaz de red; código de señal de notificación de red; su sistema de archivos virtual (selinuxfs) y la implementación de funciones interceptoras.  

• La caché de vector de acceso se utiliza para almacenar en caché los resultados calculados (almacenamiento de decisiones de control de acceso listas para usar) recibidos del servidor de seguridad. Esto es necesario para minimizar la sobrecarga de rendimiento de los mecanismos de seguridad de SELinux. La interfaz de caché de vector de acceso para el servidor de seguridad se define en el archivo de encabezado include/avc_ss.h.

• La tabla de interfaz de red asigna dispositivos de red a contextos de seguridad. Se requiere soporte para tablas separadas porque el campo de seguridad del dispositivo de red se eliminó del proyecto. Los dispositivos de red se agregan a la tabla cuando las funciones de interceptor los ven por primera vez (detectados por ellos) y se eliminan cuando se configura el dispositivo o se vuelve a cargar la política de seguridad debido a la reconfiguración. Esto es posible gracias a las funciones de devolución de llamada que registran los cambios de configuración del dispositivo y las recargas de políticas de seguridad. El código de la tabla de interfaz de red se puede encontrar en el archivo netif.c.

• El código de evento de notificación de red permite que el módulo SELinux notifique a los procesos del sistema operativo cuando se ha recargado una política de seguridad. Estas notificaciones son utilizadas por el espacio de usuario para mantener la compatibilidad del kernel. Este mecanismo es posible gracias a la librería SELinux. El código de evento de notificación de red se puede encontrar en el archivo netlink.c.

• El sistema de pseudoarchivos de SELinux exporta las API de políticas del servidor de seguridad a los procesos del sistema operativo. Las API del kernel de SELinux se dividieron originalmente en tres componentes (atributos de proceso, atributos de archivo, política de API) como parte de los cambios a la versión del kernel de Linux 2.6. SELinux también proporciona compatibilidad con la política de llamadas de API. Los tres componentes API del nuevo kernel están encapsulados en la biblioteca API de SELinux ( libselinux). El código del pseudo sistema de archivos se puede encontrar en el archivo selinuxfs.c.

• La implementación de funciones de interceptor gestiona la seguridad de la información asociada con los objetos internos del kernel y la implementación del control de acceso SELinux para cada operación dentro del kernel. Las funciones de interceptor llaman al servidor de seguridad y al caché de vector de acceso para obtener decisiones de política de seguridad y aplicar estas decisiones para marcar y controlar objetos del kernel. El código para estas funciones de enlace se encuentra en el archivo hooks.c, y las estructuras de datos asociadas con los objetos internos se definen en el archivo include/objsec.h.

Características

• Distintas políticas en función de las tareas
• Implementación clara de políticas
• Compatibilidad con aplicaciones que solicitan la aplicación de políticas y control de acceso de esas aplicaciones (por ejemplo, una tarea iniciada en cron con el contexto correcto)
• Políticas específicas independientes de SELinux y políticas lingüísticas internacionales
• Formatos de etiquetas de seguridad específicos independientes y su contenido
• Etiquetas y controles individuales para objetos y servicios del kernel (daemons)
• Almacenamiento en caché Soluciones disponibles para la eficiencia
• Posibilidad de cambiar políticas.
• Diversas medidas para proteger la integridad del sistema y la confidencialidad de los datos
• Políticas muy flexibles
• Gestión del proceso de inicialización, herencia de derechos, lanzamiento de programas
• Gestión de sistemas de archivos, carpetas, archivos y identificadores abiertos
• Gestión de sockets, mensajes (núcleo y sistema) e interfaces de red

Implementaciones

SELinux ha estado disponible comercialmente como parte de Red Hat Enterprise Linux desde la versión 4.

Distribuciones de Linux compatibles en la comunidad:

1. CentOS
2. Debian
3. ArchLinux (no oficial)
4. Fedora Core desde la versión 2
5. Gentoo endurecido
6. openSUSE desde la versión 11.1
7. ubuntu
8. ROSA
9. ALT Linux SPT 6

Otros sistemas

SELinux es uno de varios enfoques posibles para limitar las acciones realizadas por el software instalado.

El sistema AppArmor hace lo mismo que SELinux. Una diferencia importante entre estos sistemas es la forma en que se identifican los objetos del sistema de archivos: AppArmor usa la ruta completa, SELinux profundiza usando el inodo .

Estas diferencias aparecen en dos casos:

• si el archivo tiene un segundo enlace fijo inseguro , entonces AppArmor permitirá el acceso a través de él y SELinux lo rechazará, ya que los enlaces duros se refieren al mismo inodo
• si la aplicación vuelve a crear el archivo protegido, que se usa con bastante frecuencia y provoca un cambio en el inodo, entonces AppArmor continuará denegando el acceso y SELinux lo permitirá

Estos problemas se pueden evitar en ambos sistemas aplicando la política predeterminada "sin acceso".

Véase también

• LIDS - Sistema de detección de intrusos de Linux
• Agencia de Seguridad Nacional de los Estados Unidos
• TrustedBSD
• AppArmor

Notas

1. ↑ https://github.com/SELinuxProject/selinux/commit/ee1809f453038f7f34719f3fbd448893853d473f
2. ↑ Versión 3.4 - 2022.

Literatura

• Anatomía de SELinux. Arquitectura e implementación Archivado el 31 de diciembre de 2010 en Wayback Machine developerWorks, Tim Jones, 23/10/2008
• SELinux: Body Armor for the Corporate Penguin Archivado el 26 de septiembre de 2011 en Wayback Machine Hacker Magazine.

Enlaces

• SEBSD Archivado el 24 de febrero de 2022 en Wayback Machine .
• SEDarwin Archivado el 7 de mayo de 2021 en Wayback Machine .
• SELinux por NSA Archivado el 14 de febrero de 2019 en Wayback Machine La información más completa sobre el proyecto SELinux
• Documentación para usuarios y desarrolladores Archivado el 22 de diciembre de 2011 en Wayback Machine (selinuxproject.org )
• SELinux en Debian Archivado el 2 de diciembre de 2011 en Wayback Machine .
• Configuración de SELinux para sus necesidades . Archivado el 23 de diciembre de 2011 en Wayback Machine .
• Linux con seguridad mejorada. Manual del usuario Archivado el 2 de junio de 2012 en Wayback Machine (rus) Documentación de Fedora Linux