linux添加三权,基于SELinux的三权分离技术的研究

目前，Linux操作系统已广泛应用于各种设备和产品中，如服务器、PC机、机顶盒及路由器等。随着Linux系统的不断发展和广泛应用，Linux系统的安全问题也引起越来越多的关注。在Linux操作系统中，存在一个超级用户即root用户。root也称为系统管理员，它拥有管理系统的一切权限。当一个非法用户获得root用户口令后，他就可以以超级用户的身份登录系统，然后做任何他想做的事情：如任意添加、删除用户，终止进程，删除重要文件甚至更改root用户的口令。因此，一旦root权限被恶意用户利用，就可能导致系统数据的泄密和破坏。

该问题已经引起了国家的重点关注，如国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》中明确提出：涉密信息系统应配备系统管理员、安全保密管理员和安全审计员这三类安全保密管理人员，三员应该相互独立、相互制约、不得兼任。三个管理员之间的工作机制分为协作和制约两种机制，行使的是原超级用户的权力，即系统管理员、安全管理员和审计管理员间相互协作，共同维护系统的正常运行。制约机制指只有在当前管理员操作不影响其他管理员正在进行的操作时才被允许，从而保证了管理员行为的可预期性，避免超级用户的误操作或其身份被假冒而带来的安全隐患，增强了系统的安全性。该规范可以有效防止由系统管理员权力过大所带来的系统安全威胁和隐患[。

SELinux (security-enhanced Linux)[是安全增强的Linux，以强制访问控制(mandatory access control, MAC)[技术为基础，应用类型增强(type enforcement, TE)和基于角色访问控制(role-base access control, RBAC)两种安全策略模型。通过MAC技术可以实现对用户和进程权限的最小化，即使在系统受到攻击或者进程和用户的权限被剥夺的情况下，也不会对整个系统的安全造成重大影响。SELinux对访问的控制更彻底，它对系统中的所有文件、目录、端口资源的访问控制都基于一定的安全策略而设定。只有管理员才能定制安全策略，一般用户没有权限更改。因此SELinux为三权分离思想的实现奠定了基础。

目前，SELinux的相关研究工作主要集中在安全策略分析和配置及SELinux安全模型研究[方面。文献[

本文基于SELinux建立了三权分离安全模型，设计了三权分离安全策略，并实现了三权分离机制，最后通过实验验证了可行性和正确性。

1 SELinux的安全技术

1.1 MAC和DAC技术分析

SELinux除了采用自主访问控制(discretionary access control, DAC)外，还在Linux内核中使用强制访问控制机制严格控制所有对系统资源的访问请求，并根据安全策略确定是否授予该请求相应的权限。MAC机制将能够发出访问请求的对象称为主体(如进程)，将系统的被访问对象(如：文件、设备、socket、端口和其他进程)称为客体，所有主体对客体的访问都必须由MAC机制通过安全策略授权。MAC机制给进程仅授予操作所需要的权限，这遵循了最小权限原则。因此，在MAC机制的保护下，即使获取root用户的权限也无法访问未授权的客体[。

在SELinux中，MAC与DAC机制联合，以提高系统的安全性。如

图1

图1

SELinux的DAC与MAC

1.2 SELinux的安全策略模型[

安全策略作为访问控制机制权限仲裁的依据，是SELinux中非常重要的内容之一。SELinux采用TE (type enforceme