如何增强Linux内核中的访问控制安全

需要有一点的内核源码经验，比如说对于read操作，源码如下：

在这里当发起read系统调用后，就会进入到sys_read,在sys_read中会调用vfs_read函数，在vfs_read的参数中正好有我们需要过滤的信息，那么就可以把vfs_read当做一个hook点。

2. 对于第二个问题:

如何Hook?这里介绍两种方式：

• 第一种方式：直接进行二进制替换，将call指令的操作数替换为hook函数的地址。



• 第二种方式：Linux内核提供的kprobes机制。

其原理是在hook点注入int 3(x86)的机器码，让cpu运行到这里的时候会触发sig_trap信号，然后将用户自定义的hook函数注入到sig_trap的回调函数中，达到触发hook函数的目的。这个其实也是调试器的原理。

LSM

LSM是Linux Secrity Module的简称，即linux安全模块。是一种通用的Linux安全框架，具有效率高，简单易用等特点。原理如下：

LSM在内核中做了以下工作：

• 在特定的内核数据结构中加入安全域。
• 在内核源代码中不同的关键点插入对安全钩子函数的调用。
• 加入一个通用的安全系统调用。
• 提供了函数允许内核模块注册为安全模块或者注销。
• 将capabilities逻辑的大部分移植为一个可选的安全模块,具有可扩展性。

适用场景

对于以上几种Hook方式，有其不同的应用场景。

• 动态库劫持不太完全，劫持的信息有可能满足不了我们的需求，还有可能别人在你之前劫持了，一旦禁用LD_PRELOAD就失效了。
• 系统调用劫持，劫持的信息有可能满足不了我们的需求，例如不能获取struct file结构体，不能获取文件的绝对路径等。
• 堆栈式文件系统，依赖于Mount,可能需要重启系统。
• inline hook，灵活性高，随意Hook，即时生效无需重启，但是在不同内核版本之间通用性差，一旦某些函数发生了变化，Hook失效。
• LSM，在早期的内核中，只能允许一个LSM内核模块加载，例如加载了SELinux，就不能加载其他的LSM模块，在最新的内核版本中不存在这个问题。

总结

（编辑：网站开发网_安阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!