Linux 安全模块(LSM)是 Linux 内核的一个轻量级通用访问控制框架。本文介绍 Linux 安
全模块(LSM)的相关背景,设计思想,实现方法;并说明如何使用 Linux 安全模块
(LSM)来增强 Linux 系统的安全性:一方面是供内核开发人员和安全研究人员使用的接
口,另一方面是供普通用户使用的模块,以及具体的使用方法。如果读者具有 Linux 内核
和安全的相关背景知识,可以有助于对本文的理解。
1.相关背景介绍:为什么和是什么
近年来 Linux 系统由于其出色的性能和稳定性,开放源代码特性带来的灵活性和可扩展性,
以及较低廉的成本,而受到计算机工业界的广泛关注和应用。但在安全性方面, Linux 内
核只提供了经典的 UNIX 自主访问控制(root 用户,用户 ID,模式位安全机制),以及部
分的支持了 POSIX.1e 标准草案中的 capabilities 安全机制,这对于 Linux 系统的安全性是不
足够的,影响了 Linux 系统的进一步发展和更广泛的应用。
有很多安全访问控制模型和框架已经被研究和开发出来,用以增强 Linux 系统的安全性,
比较知名的有安全增强 Linux(SELinux),域和类型增强( DTE),以及 Linux 入侵检
测系统(LIDS)等等。但是由于没有一个系统能够获得统治性的地位而进入 Linux 内核成
为标准;并且这些系统都大多以各种不同的内核补丁的形式提供,使用这些系统需要有编
译和定制内核的能力,对于没有内核开发经验的普通用户,获得并使用这些系统是有难度
的。在 2001 年的 Linux 内核峰会上,美国国家安全局(NSA)介绍了他们关于安全增强
Linux(SELinux)的工作,这是一个灵活的访问控制体系 Flask 在 Linux 中的实现,当时
Linux 内核的创始人 Linus Torvalds 同意 Linux 内核确实需要一个通用的安全访问控制框架,
但他指出最好是通过可加载内核模块的方法,这样可以支持现存的各种不同的安全访问控
制系统。因此,Linux 安全模块(LSM)应运而生。
Linux 安全模块(LSM)是 Linux 内核的一个轻量级通用访问控制框架。它使得各种不同的
安全访问控制模型能够以 Linux 可加载内核模块的形式实现出来,用户可以根据其需求选
择适合的安全模块加载到 Linux 内核中,从而大大提高了 Linux 安全访问控制机制的灵活
性和易用性。目前已经有很多著名的增强访问控制系统移植到 Linux 安全模块(LSM)上
实 现 , 包 括 POSIX.1e capabilities , 安 全 增 强 Linux ( SELinux ) , 域 和 类 型 增 强
(DTE),以及 Linux 入侵检测系统(LIDS)等等。虽然目前 Linux 安全模块(LSM)仍
然是作为一个 Linux 内核补丁的形式提供,但是其同时提供 Linux 2.4 稳定版本的系列和
Linux 2.5 开发版本的系列,并且很有希望进入 Linux 2.6 稳定版本,进而实现其目标:被
Linux 内核接受成为 Linux 内核安全机制的标准,在各个 Linux 发行版中提供给用户使用。
2.设计思想介绍:得让两方面都满意
Linux 安全模块(LSM)的设计必须尽量满足两方面人的要求:让不需要它的人尽可能少
的因此得到麻烦;同时让需要它的人因此得到有用和高效的功能。
以 Linus Torvalds 为代表的内核开发人员对 Linux 安全模块(LSM)提出了三点要求:
评论9