Se detalla el mecanismo de seguridad de Linux

Después de más de diez años de desarrollo, las funciones de Linux se mejoran constantemente y su mecanismo de seguridad está mejorando gradualmente. De acuerdo con el estándar de evaluación TCSEC, el nivel de seguridad actual de Linux básicamente ha alcanzado C2, y se está desarrollando un sistema Linux de mayor nivel de seguridad.

Echemos un vistazo a los mecanismos de seguridad existentes de Linux. Algunos de estos mecanismos han sido aceptados por el estándar de Linux, y algunos solo han proporcionado el programa "Patch".

Mecanismo PAM

PAM (Módulos de autenticación conectables) es un conjunto de bibliotecas compartidas, el propósito es proporcionar un marco y un conjunto de interfaces de programación, el trabajo de certificación es entregado al administrador por el programador, PAM Permite a los administradores elegir entre varios métodos de autenticación que pueden cambiar los métodos de autenticación locales sin volver a compilar las aplicaciones relacionadas con la autenticación.

Las funciones de PAM incluyen:

● Contraseñas cifradas (incluidos algoritmos distintos de DES);

● Restricciones de recursos en los usuarios para evitar ataques de DOS;

● Permitir contraseñas de Shadow al azar;

● Evitar que usuarios específicos inicien sesión desde una ubicación específica en un momento específico;

● Presente el concepto "agentes de complemento de clientes" para permitir que PAM admita aplicaciones C /S Es posible obtener la certificación de la máquina.

PAM facilita el desarrollo de métodos de autenticación más eficientes. Sobre esta base, es fácil desarrollar un método de autenticación que reemplace el nombre de usuario y la contraseña convencionales, como tarjetas inteligentes, reconocimiento de huellas digitales y otros métodos de autenticación.

Sistema de detección de intrusos

La tecnología de detección de intrusos es una tecnología relativamente nueva. Muy pocos sistemas operativos
han instalado herramientas de detección de intrusos. De hecho, Linux estándar La versión de lanzamiento también está equipada recientemente con esta herramienta. Aunque la historia de los sistemas de detección de intrusiones es muy breve, el desarrollo es muy rápido. Actualmente, los sistemas de detección de intrusiones más populares son Snort, Portsentry, Lids, etc.

Al usar las herramientas equipadas con Linux y las herramientas descargadas de Internet, Linux puede tener capacidades avanzadas de detección de intrusiones, que incluyen:

● Registrar intentos de intrusión, notificar cuando ocurra un ataque Administrador;

● Realice acciones preespecificadas cuando ocurra un ataque específico;

● Envíe algunos mensajes de error, como el disfraz de otros sistemas operativos, para que el atacante piense que están Atacar un sistema Windows
NT o Solaris.

Sistemas de cifrado de archivos

La tecnología de cifrado desempeña un papel cada vez más importante en la seguridad de los sistemas informáticos modernos. Cifrar un sistema de archivos es introducir servicios de cifrado en el sistema de archivos para mejorar la seguridad del sistema informático. Existen demasiados motivos para cifrar los sistemas de archivos, como evitar el robo de discos duros, evitar el acceso no autorizado, etc.

En la actualidad, Linux tiene una variedad de sistemas de archivos encriptados, como CFS, TCFS, CRYPTFS, etc., y más representativos son TCFS (Sistema de archivos transparente de Cryptogr APhic). Integra perfectamente el servicio criptográfico con el sistema de archivos para que el usuario no sienta el proceso de cifrado del archivo. TCFS no modifica la estructura de datos del sistema de archivos, y la semántica de la copia de seguridad y la reparación y el acceso de los usuarios a los archivos confidenciales se mantienen sin cambios.

TCFS puede hacer que los archivos confidenciales no puedan leerse a los siguientes usuarios:

● Usuarios que no sean propietarios legítimos;

● Usuarios y líneas de comunicación de sistemas de archivos remotos Escucha;

● Superusuario del servidor del sistema de archivos.

Para usuarios legítimos, acceder a archivos confidenciales es casi imposible de acceder a archivos normales.

Auditoría de seguridad

A pesar de que el administrador del sistema ha tomado varias medidas de seguridad a sabiendas, desafortunadamente se descubren algunas nuevas vulnerabilidades. El atacante aprovecha rápidamente la oportunidad de atravesar tantas máquinas como sea posible antes de que se solucione la vulnerabilidad. Aunque Linux no puede predecir cuándo un host será atacado, puede registrar el paradero del atacante.

Linux también puede detectar, registrar información de tiempo y conexiones de red. Esta información será redirigida al registro para futuras referencias.

El registro es una parte importante de la arquitectura de seguridad de Linux y es la única evidencia real del ataque. Debido a la variedad de métodos de ataque disponibles en la actualidad, Linux proporciona información de registro de red, host y nivel de usuario. Por ejemplo, Linux puede registrar lo siguiente:

● Registrar toda la información del sistema y del kernel;

● Registrar cada conexión de red y su dirección IP de origen, longitud y, a veces, el usuario del atacante Nombre y sistema operativo utilizado;

● Registre a qué archivos solicita acceso el usuario remoto;

● Registre qué procesos puede controlar el usuario;

● Registre cada comando utilizado por un usuario específico .

La información de registro es indispensable cuando se investigan intrusos en la red, incluso si la investigación se realiza después del ataque real.

Forzar control de acceso

El control de acceso obligatorio (MAC) es un tipo de control de acceso definido e implementado por el administrador del sistema desde una perspectiva de todo el sistema. El sujeto y el objeto restringen por la fuerza el intercambio y el flujo de información, de modo que los diferentes usuarios solo puedan acceder a la información del alcance especificado, lo que fundamentalmente evita la pérdida de información y el desorden del acceso.

La implementación tradicional de MAC se basa en la estrategia MLS definida en TCSEC, pero debido a las deficiencias de MLS (inflexibilidad, compatibilidad deficiente, difícil de manejar, etc.), los investigadores han propuesto una variedad de Políticas de MAC como DTE, RBAC, etc. Como Linux es un sistema operativo libre, existen varias implementaciones de control de acceso obligatorio, entre las que se incluyen SElinux, RSBAC y MAC, y las estrategias adoptadas son diferentes.

La arquitectura de seguridad SELinux introducida por NSA se llama Flask. En esta estructura, la lógica de la política de seguridad se encapsula en un componente separado del sistema operativo. Este componente separado se llama un servidor seguro. . El servidor de seguridad de SELinux define una política de seguridad híbrida que consiste en la aplicación de tipo (TE), el control de acceso basado en roles (RBAC) y la seguridad multinivel (MLS). Se pueden admitir diferentes políticas de seguridad reemplazando el servidor de seguridad. SELinux usa un lenguaje de configuración de políticas para definir políticas de seguridad, que luego se compilan en forma binaria mediante checkpolicy, se almacenan en el archivo /ss_policy y se leen en el espacio del kernel cuando este arranca. Esto significa que la política de seguridad será diferente cada vez que se inicie el sistema. Las políticas incluso se pueden cambiar durante la operación del sistema utilizando la interfaz security_load_policy (siempre que la política esté configurada para permitir tales cambios).

El nombre completo de RSBAC es Control de acceso basado en conjuntos de reglas, que se basa en el modelo del Marco Generalizado para el Control de Acceso (GFAC) propuesto por Abrams y LaPadula y se puede proporcionar en base a múltiples módulos. Control de acceso flexible. Todas las llamadas al sistema relacionadas con la seguridad extienden el código de implementación de seguridad, que llama al componente de decisión central, que luego llama a todos los módulos de decisión activos para formar una decisión integral, que luego es implementada por la extensión de llamada del sistema. Los módulos actualmente incluidos en RSBAC incluyen principalmente MAC, RBAC y ACL.

MAC es un control de acceso MAC muy básico escrito por Malcolm Beattie para Linux 2.2 en el Reino Unido, que separa un sistema Linux en ejecución en múltiples subsistemas invisibles (o mutuamente restringidos). Los subsistemas se pueden gestionar como un solo sistema. El MAC se basa en el modelo tradicional de integridad de Biba y el modelo BLP, pero el autor no parece continuar su trabajo.

Firewalls

Un firewall es un componente o una serie de componentes que restringen el acceso entre una red protegida e Internet, o entre otras redes.

El sistema de firewall de Linux ofrece las siguientes funciones:

● Control de acceso, que realiza políticas de control de acceso de tiempo y usuario basadas en direcciones (origen y destino) para evitar el acceso no autorizado. Al mismo tiempo, el acceso legítimo para proteger a los usuarios internos no se ve afectado.

● Auditoría, registro de acceso a la red a través de él, establecimiento de registros completos, auditoría y seguimiento de registros de acceso a la red y generación de informes según sea necesario.

● Anti-ataque, el sistema de firewall está expuesto directamente a la red no confiable. Para el mundo exterior, la red interna protegida por el firewall es como un punto. Todos los ataques están dirigidos contra él. Este punto se llama fortaleza. Por lo tanto, se requiere que la máquina de la fortaleza tenga un alto grado de seguridad y la capacidad de resistir varios ataques.

● Otras funciones auxiliares, como alarmas relacionadas con la auditoría y detección de intrusiones, autenticación relacionada con el control de acceso, encriptación y autenticación, e incluso VPN, etc.