Linux内核安全模块学习-导言

Linux内核安全模块学习-导言

什么是安全

国际上对计算机安全勉强概括了三个特性：私密性(Confidentiality)、完整性(Integrity)、可用性(Availability)，简写CIA。私密性就是数据不被未授权的人看到，完整性指存储或传输的信息不被篡改，可用性是指，自己的设备再需要使用时能够使用。 计算机系统应对安全挑战的办法大致有四种：隔离、控制、混淆、监视。隔离是对外的（计算机系统安全的设计者在系统的各个层级都发明了不同的技术来实现隔离，隔离的结果常常被称为沙箱），阻断的内部和外部的交互。控制是对内的，在计算机世界是通过系统代码内在的逻辑和安全策略来维护信息流动和信息改变（如用户A可不可以读取文件a等）。混淆要达到的效果是，明明你可以接触到数据却无法还原信息（加密就是一种混淆）。监视的作用是间接的，计算机系统中的日志和审计就是在做监视工作。

计算机系统安全的历史

在1970年前后，先后出现了两个安全模型：BLP模型和BIBA模型。前者参考美国军方的保密原则，着力解决私密性；后者着力解决完整性。

计算机操作系统步入分时多用户时代，随之出现基于角色的访问控制(Role-based Access Control, RBAC)，让用户属于不同的角色，再基于角色赋予访问权限。 当PC时代来临，计算机设备专属某个人，系统中所谓用户也背离了原有的含义（打开Linux系统上的/etc/passwd文件，看看里面还要几个是真正的用户），这时使用RBAC就有些力不从心了。接下来诞生了类型增强(Type Enforcement, TE)访问控制模型。模型中控制的对象不再是人，或角色，而是进程。进程属于不同的类型，不同类型有不同的访问权限。

Linux内核安全概貌

Linux内核安全的开发从20世纪90年代中后期开始，经过20年的开发，安全相关模块比较全面，有用于强制访问控制的LSM(Linux Security Module)，有用于完整性保护的IMA(Integrity Measurement Architecture)和EVM(Extended Verification Module)，有用于加密的密钥管理模块和加密算法库，还有日志和审计模块，以及一些零碎的安全增强特性。

《Linux内核安全模块深入剖析》是2016年12月1日机械工业出版社出版的图书，作者是李志。本书对Linux内核安全子系统做了系统而深入的分析，内容包括Linux内核的自主访问控制、强制访问控制、完整性保护、审计日志、密钥管理与密钥使用等。本书的内容填补了国内外关于Linux内核安全的一个空白。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。