基于LSM的Linux安全性研究.pdf

南京航空航天大学硕士学位论文基于LSM的Linux安全性研究姓名:邓明强申请学位级别:硕士专业:计算机科学与技术指导教师:章勇2011-03南京航空航天大学硕士学位论文摘要随着计算机的普及,计算机安全成为人们关注的焦点。操作系统作为计算机的基础软件,是计算机系统安全的基石。Linux系统因为其出色的性能和稳定性,以及开源代码带来的灵活性,受到计算机工业界的青睐。Linux安全模块是一个轻量级的访问控制框架,使得各种不同的安全模块能够以Linux可加载内核的方式实现。这为用户带来了很大的方便,用户可以根据自己的需要选择恰当的模块载入到内核中,这也提高了Linux的灵活性和易用性。访问控制是常用的安全防护技术,是信息安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。本文正是利用Linux安全模块实现强制访问控制,达到增强Linux安全性的目的。本文首先对Linux安全模块的设计思想以及实现方法进行了详细的分析,并实验分析了其对系统性能的影响。其次,对访问控制机制进行深入研究。在计算机操作系统中,ACL已经成为实现访问控制模型的流行方法;强制访问控制根据主体与客体的安全级别来控制访问;自主访问控制是根据用户的权限控制访问;基于角色的访问控制是访问控制的一个独立部分,在合适的时候可以与自主访问控制及强制访问控制共存。最后,对已有的强制访问控制实现进行深入分析,给出了一种改进的强制访问控制实现方法,包括详细的设计过程和具体的实现方法。文中实现的强制访问控制有如下优点:访问控制策略内容放于策略配置文件中,便于策略管理员管理;满足最小特权原则,即允许用户拥有完成任务所需的最小权利,这样就减小了因疏忽或侵入者冒充合法用户而导致的损害;支持权限分离。关键词:Linux安全模块,访问控制表,自主访问控制,强制访问控制,基于角色的访问控制,,becauseofitsexcellentperformanceandstability,aswellastheflexibilitybroughtbyopensourcecode,,generalpurpose,,thecoreoftheinformationsecuritymechanism,,thispaperdetailedlyanalyzestheLinuxsecuritymoduledesignandimplementationmethods,,thispaperhasanin-’,thispaperhasanin-depthstudyofexistingMACimplementations,andpresentsanimprovedimplementationofMAC,:esscontrolpolicystoresintheconfigurationfile,easilymanagingbypolicyadministrators;satisfyingtheprincipleofleastprivilege,reducingthed