Решение задач на тему: Security-Enhanced Linux — линукс с улучшенной безопасностью

Введение

Мир операционных систем предоставляет пользователям достаточно большое их количество. ОС выступает в качестве программы, которая управляет ресурсами вычислительной системы и процессами, использующих эти ресурсы при вычислениях.

Условно ОС можно разделить на серверные и пользовательские, обслуживаемые и нет, встраиваемые (Embedded) и загружаемые, ОС реально времени с гарантированным временем отклика на события и нет. Также раздел можно провести по платформе, для которой предназначена ОС, по назначению, по занимаемому объему и т.д.

Приведем список наиболее часто используемых ОС:

DOS (МS-DOS, DR-DOS и их клоны);

Windows NТ (Windows 2000, Windows XР, Windows 2003 Server);

Windows СЕ;

Семейство UNIX;

Данная работа посвящена ОС Linux. Это POSIX-совместимая (благодаря этому стандарту любое приложение можно перенести из одного представителя семейства UNIX в другой) UNIX-подобная система. На сегодняшний день это самая распространенная бесплатная ОС с открытым исходным кодом. При ее разработке из мира семейства UNIX старались взять все лучшее. Благодаря участию десятков тысяч разработчиков программного обеспечения и координации их действий через Интернет Linux и ПО для нее развивается очень динамично, ошибки и различные проблемы в ПО, как правило, исправляются в считанные часы после их обнаружения. Все, что справедливо для семейства UNIX, справедливо и для Linux. Широчайшая поддержка аппаратных платформ, малая требовательность к аппаратным ресурсам, масштабируемость, поддержка мультипроцессорных систем, кластеризация, поддержка распределенных вычислений, десятки графических оболочек - и это далеко не все. И при всей мощи это достаточно дружественная ОС, способная работать как на мощнейшем сервере, так и на домашнем ПК.

Поскольку в данной работе нас интересует Linux, а ОС Windows 9x или Windows NТ/2000/XР установлены приблизительно на 90% РС-совместимых персональных компьютеров, то все сравнения в дальнейшем будем производить относительно этих трех ОС.

В идеале ОС должна удовлетворять, по меньшей мере, семи достаточно противоречивым требованиям:

Быть легкой в освоении и дружественной к пользователю (User Friendly).

Быть мощной и универсальной (способной работать на любом оборудовании).

В ней все должно настраиваться и довольно просто.

Она должна быть очень надежна (в идеале - сверхнадежна).

Занимать как можно меньше места.

Разработчики моментально должны реагировать на проблемы, обнаруженные в процессе эксплуатации.

Под нее должен быть широкий выбор ПО.

Теперь оценим ОС на соответствие вышеперечисленным требованиям:

Windows 3.1x - удовлетворяет п.1 с оговорками, частично п.3 и п.5, удовлетворяет п.7.

Windows 9x - удовлетворяет п.1, частично п.3, безусловно удовлетворяет п.7;

Windows NТ - удовлетворяет п.1, п.2 (с учетом одноплатформенности и непомерных требований к аппаратному обеспечению), п.3 и п.4 с оговорками, безусловно удовлетворяет п.7;

Linux - безусловно удовлетворяет всем пунктам, особенно п.2, п.3, п.6 и п.7;

Linux по всем параметрам на порядок превосходит Windows. Единственное, в чем Windows пока впереди - это в количестве и разнообразии прикладного ПО. Надо, признать, что чаще всего все же с Linux и UNIX-подобными системами работают либо администраторы сетей, либо программисты.

Факт остается фактом: системное администрирование и программирование - сложная задача. UNIX-системы исключительно мощны, а подобное достоинство всегда сопровождается повышением степени сложности.

Разработчики ОС Linux не придавали особого внимания вопросам защиты, и по этой причине ни одну из UNIX-систем нельзя сделать по-настоящему безопасной. На протяжении всей истории UNIX-систем их регулярно взламывают, портят, увечат, а также незаконно присваивают и модифицируют данные. С появлением сети Интернет начался новый этап "холодной войны".

Кое-что для повышения надежности UNIX-системы, разумеется сделать можно. Но полная нирвана безопасности все же недостижима, ибо в модели UNIX есть несколько фундаментальных изъянов, которые невозможно устранить.

ОС UNIX ориентирована прежде всего на удобство в применении, что отнюдь не предполагает естественность и простоту ее защиты. Эту систему разрабатывали исследователи для исследователей, и концепции UNIX заключаются в обеспечении удобного манипулирования данными в сетевой многопользовательской среде.

Стратегия защиты в UNIX, по сути, предполагает всего два статуса пользователя: пользователь, не обладающий привилегиями, и суперпользователь. Такая возможность UNIX, как выполнение программ с установленным битом смены идентификатора пользователя, обеспечивает привилегированный доступ ко все вычислительным ресурсам системы. При этом из-за незначительных огрехов в защите может быть поставлено под угрозу нормальное функционирование системы как таковой.

Большинство административных функций реализовано вне ядра, поэтому к ним можно без особого труда получить доступ с целью просмотра и внесения изменений. Это открывает широкое поле деятельности для хакеров.

В системе защиты UNIX существует множество всем известных изъянов, которые никогда не будут устранены, и просчетов, которые одни производители устранили, а другие - нет. Помимо этого, многие организации на одну - две версии программного обеспечения отстают: либо по причине сложности локализации, либо потому, что они не заключили с поставщиком договор о сопровождении системы. Если производитель заткнул маленькую дырочку в системе защиты, это не означает, что окно для взлома исчезнет на следующий же день.

Раньше считалось, что по мере выявления и устранения брешей безопасность операционной системы UNIX будет непрерывно повышаться. Суровая реальность оказалась иной. Сложность системного программного обеспечения стремительно растет, хакерская деятельность все больше приобретает черты организованной преступности, компьютеры оказываются все более тесно связанными посредством сети Internet. Война переходит в новые измерения, и, похоже, победителей не будет.

Существует формулу:

Чем безопаснее системы, тем труднее в ней работать пользователям.

Оглавление

- Введение

- Постановка задачи

- Конструкторская часть

- Обзор SELinux

- Введение в SELinux

- Используемая терминология

- Виды политик

- Задачи целевых политик

- Компилирование и загрузка целевой политики

- Редактирование целевой политики

- Написание новой политики для демона

- Процессы в системе UNIX

- Понятие и структура процесса

- Создание новых процессов

- Выполнение процесса

- Демоны

- Технологическая часть

- Выбор дистрибутива

- Создание демона

- Политика для созданного демона

- Демонстрация работы демона

- Заключение

- Список литературы

- Приложение 1

- Приложение 2

- Приложение 3

Заключение

В данной работе была освещен Security-Enhanced Linux - линукс с улучшенной безопасностью.

Достоинства данной технологии очевидны, т.к. он базируется на принципе наименьших прав, т.е. запущенному процессу дается именно столько прав, сколько ему требуется. Более того, SELinux существует параллельно с классической системой безопасности Linux, независим от нее. SELinux обрабатывает только те запросы, которые разрешены классической системой безопасности и не может разрешить то, что запрещено последней. На примере демона, запущенного от имени root (т.е. с нулевым уровнем привилегий) было продемонстрирована "сила" Security-Enhanced Linux.

Недостатком SELinux является то, что отсутствует удобное ПО по разработке своей собственной политики. Вариант редактирования исходных кодов политик, компилирования, просмотра логов и внесение изменений в код, двигаясь пошагово в цикле - является неудовлетворительным.

В настоящее время ведутся активные работы как по переводу документации SELinux на русский язык, так и попыток создания ПО.

Несомненно, нужно отметить, что LUG (Linux User Group) нашего университета тоже присоединилось к этому движению. Несколько студентов решили объединить свои силы для помощи мировому сообществу.

Ознакомиться с задачами, которые были поставлены в LUG можно на сайте http://www.selinux.ru .

Список литературы

1. Эви Немеет, Гарт Снайдер, Скотт Сибасс, Трент Р.Хейн "UNIX. Руководство системного администратора для профессионалов", 3-е издание

2. Марк Дж. Рочкинд "Программирование для UNIX. Наиболее полное руководство в подлиннике", 2-е издание

3. Алексей Стахнов "Linux. Наиболее полное руководство в подлиннике", 2-е издание

4. http://www.redhat.ru/docs/manuals/enterprise/RHEL-4-Manual/selinux-guide/index.html - официальное руководство по SELinux для Red Hat 4 [03.06.2006].

5. http://www.nsa.gov/selinux - Официальный сайт NSA [03.06.2006].

6. http://www.nsa.gov/selinux/faq.html - Официальный документ SЕ Linux FAQ [03.06.2006].

7. http://www.nsa.gov/selinux/docs.html - Опубликованные NSA материалы, отчёты и презентации. [03.06.2006].

8. http://www.rhd.ru/docs/articles/selinux_rhel4/ - Получите преимущества SELinux в Red Hat® Enterprise Linux® 4. Фай Кокер и Рассел Кокер. [03.06.2006].

9. http://gazette.lrn.ru/rus/articles/intro_selinux.html - Введение в SЕ Linux: новый SЕ Linux. Фей Кокер. [03.06.2006].

10. http://ru.wikipedia.org/wiki/SELinux - Материал из Википедии

11. http://www.osp.ru/text/302/185543/ - SELinux - система повышенной безопасности. Андрей Боровский. [03.06.2006].