嗯!如题,一个简单的基于LSM的沙箱设计。环境是Linux v4.4.28。一个比较新的版本,所以在实现过程中很难找到资料,而且还有各种坑逼,所以大部分的时间都是在看源码,虽然写的很烂,但是感觉收获还是挺大的。

  具体思路很简单,每个进程都有对应一个task_struct。可以使用task_struct来对进程的行为进行监测和限制,换句话来说,沙箱是基于进程实现的。

  正如官方文档所说的,LSM在Linux关键数据结构中添加了透明的安全域,具体实现应该是这样的

  

task_struct{

    ...

    void *security;

    ...

}

  然而,task_struct 的安全透明域在2.6.28以后的版本就没有了(后来才发现放到cred里面去了)刚发现这一点的时候表示很懵逼,所以,为了不去重新设计实现思路或者换版本实现,所以在task_struct里面添加了void * f_security。配套的安全域初始化hook可以换个思路来进行实现,所以不多添加钩子了。

  1:设计一下安全域的数据结构。

  先来看一下SELinux的设计:

 struct task_security_struct {

         u32 osid;               /* SID prior to last execve */

         u32 sid;                /* current SID */

         u32 exec_sid;           /* exec SID */

         u32 create_sid;         /* fscreate SID */

         u32 keycreate_sid;      /* keycreate SID */

         u32 sockcreate_sid;     /* fscreate SID */

  };

  简单一点就设计我这样:

    struct security_demo_task{
    int demo_sid;
     u32 task_sid;

      u32 ptrace_sid;

      u32 socket_sid;

      u32 file_sid;
  /*

      u32 cap_sid;

      u32 inode_sid;

      u32 ipc_sid;

      u32 msg_sid;

      u32 task_sid;

      u32 dev_sid;

      u32 audit_sid;

    */

};

  可以根据实现的具体情况对各个sid的值进行宏定义,我的宏定义为:

#define DEMO_ON 1

#define DEMO_OFF 0

#define DEMO_PTRACE_ON 1

#define DEMO_PTRACE_OFF 0

#define DEMO_FILE_ON 1

#define DEMO_FILE_OFF 0

#define DEMO_SOCKET_ON 1

#define DEMO_SOCKET_OFF 0
#define DEMO_SCOPE_DISABLED    0

#define DEMO_SCOPE_LEARNING    1

#define DEMO_SCOPE_ENABLE    2
#define DEMO 0 

#define DEMO_PTRACE 1 

#define DEMO_FILE 2 

#define DEMO_SOCKET 3

  对安全域的初始化,在SELinux,在钩子里队每一个task自动初始化,SElinux因为对每个task都设计了安全域,为了提高内存利用效率,还用了SLAB。而由于我的沙箱只是针对具体进程,所以干脆直接用了kmalloc和kfree进行分配并添加了一个系统调用。代码对比如下:

//SLinux
static void cred_init_security(void)

{

    struct cred *cred = (struct cred *) current->real_cred;

    struct task_security_struct *tsec;

    tsec = kzalloc(sizeof(struct task_security_struct), GFP_KERNEL);

    if (!tsec)

        panic("SELinux:  Failed to initialize initial task.\n");

    tsec->osid = tsec->sid = SECINITSID_KERNEL;

    cred->security = tsec;

}

  而我的:

static int task_alloc_security(struct task_struct *task){

    struct security_demo_task *tsec;

    if(task->f_security != NULL){

    printk("Demo:error!Aready Inint!");

    return -EIO;

    }

    tsec = kmalloc(sizeof(struct security_demo_task),GFP_KERNEL);

    if (!tsec){

    printk("Demo:error!kmalloc fail!");

        return -ENOMEM;

    }

    tsec->demo_flag = DEMO_ON;

    tsec->ptrace_flag = DEMO_PTRACE_ON;

    tsec->file_flag = DEMO_FILE_ON;

    tsec->socket_flag = DEMO_SOCKET_ON;

    task->f_security = tsec;

    return ;

}

  二:对安全域的操作

  SELinux采用了AVC对其进行操作,具体的原理网上烂大街了,也不多做阐述。对于这种玩具型的LSM模块来说,可以自己直接添加一个系统调用就OK了。

SYSCALL_DEFINE3(task_security,pid_t,pid,int,type,int,value){

    struct task_struct* pTaskStruct;

       struct pid* p;

    int err;

    struct security_demo_task* st;

    //get task_struct by pid with rcu

    rcu_read_lock();

    p = find_vpid(pid);

    pTaskStruct = pid_task(p,PIDTYPE_PID);

    //printk("Test:name %s\n",pTaskStruct->comm);

    rcu_read_unlock();

//下面代码用于检测各个属性域的sid,每个sid初步设置为open和close,其中的错误检测,就偷懒写成-EIO,具体的宏定义可以自己区看type.h
if(type == DEMO){

        if(value == DEMO_ON){

            err = task_alloc_security(pTaskStruct);

            if(err){

                printk("Demo:error! Init task_struct_security fail\n");

                return -EIO;

            }

            printk("Demo:Init %s'f_security success!\n",pTaskStruct->comm);

        }

        else if(value == DEMO_OFF){

            err = task_free_security(pTaskStruct);

            if(err){

                printk("Demo: Free %s's f_security fail!\n",pTaskStruct->comm);

                return -EIO;

            }

            printk("Demo:Free %s'f_security success!\n",pTaskStruct->comm);

        }

        else{

            printk("Demo:Invid Argument!Please check it,and try again");

            return -EIO;

        }

    }

    else if(type == DEMO_PTRACE){

        if(pTaskStruct->f_security == NULL){

            printk("Demo:Dont be inint\n");

            return -EIO;

        }

        st = (struct security_demo_task*)(pTaskStruct->f_security);

        st->ptrace_flag = value;

        printk("Demo:%s'->f_security-> ptrace_flag=%d\n",pTaskStruct->comm,st->ptrace_flag);

    }

    else if(type == DEMO_FILE){

        if(pTaskStruct->f_security == NULL){

            printk("Demo:Dont be inint\n");

            return -EIO;

        }

        st = (struct security_demo_task*)(pTaskStruct->f_security);

        st->file_flag = value;

        printk("Demo:%s'->f_security-> file_flag=%d\n",pTaskStruct->comm,st->file_flag);

    }

    else if(type == DEMO_SOCKET){

        if(pTaskStruct->f_security == NULL){

            printk("Demo:Dont be inint\n");

            return -EIO;

        }

        st = (struct security_demo_task*)(pTaskStruct->f_security);

        st->socket_flag = value;

        printk("Demo:%s'->f_security-> socket_flag=%d\n",pTaskStruct->comm,st->socket_flag);

    }

    else{

            printk("Demo:Invid Argument!Please check it,and try again");

            return -EIO;

        }

    //st = (struct security_demo_task*)(pTaskStruct->f_security);

    //printk("Test:Switch %d\n",st->demo_flag);

    return ;

}

  三:具体设计

    每一个内核里的每个LSM模块(SELinux,Apparmor等)都分为了几个等级(Enable,Learning,Disable)。在这个简单的demo里我也是这样设计的,可以利用sysctl来注册一个变量,这里可以参考yama的具体实现或者直接看系列(二)的文章。至于Disable级,所有的函数Hook都被禁用,而学习模式,则将目标进程的活动全部进行记录,这里可以专门将一个ASCII码文件作为输出log,也可以省事点直接Printk出来。而在Enable级中,则是根据security_demo_task的具体sid来对进程的活动进行限制,所以说,安全域的安全属性越全,则沙箱的功能越强大:

    这里展示一下对创建进程的函数进行hook:

 

int demo_task_create(unsigned long clone_flags)

{

    struct security_demo_task* sdt;

    if(demo_scope == DEMO_SCOPE_ENABLE && current->f_security != NULL){

      sdt = (struct security_demo_task*)(current->f_security);

      if (sdt->task_flag ==  DEMO_TASK_ON){

          printk("Demo:Forbid create task!");
       return -EIO;

      }

      else if(sdt->task_flag == DEMO_TASK_OFF){

          printk("Demo:OK!You can fork!");

      }

    }

    if(demo_scope == DEMO_SCOPE_LEARNING && current->f_security != NULL){

      sdt = (struct security_demo_task*)(current->f_security);

      if (sdt->task_flag ==  DEMO_TASK_ON){

          get_time();

          printk("%s try to fork a new task that forbid!\n",current->comm);

     }

    }

    return ;

}

  四:其它

    大致设计就这么些了,想要扩展还是挺方便的,写代码的时候的一个很坑的一点是:模块不能动态加载!!所以呢!如果想好好写的话,最好还是先把源码改成可以动态加载,当然,怎么改就自己看源码咯!

  

 

学习LSM(Linux security module)之四:一个基于LSM的简单沙箱的设计与实现的更多相关文章

  1. 学习LSM(Linux security module)之二:编写并运行一个简单的demo

    各种折腾,经过了一个蛋疼的周末,终于在Ubuntu14.04上运行了一个基于LSM的简单demo程序. 一:程序编写 先简单的看一下这个demo: //demo_lsm.c#include <l ...

  2. 学习LSM(Linux security module)之一:解读yama

    最近打算写一个基于LSM的安全模块,发现国内现有的资料极少.因此打算自己琢磨一下.大致的学习路线如下: 由易至难使用并阅读两到三个安全模块->参照阅读模块自己实现一个安全模块->在自己实现 ...

  3. 学习LSM(Linux security module)之三:Apparmor的前世今生和基本使用

    感冒了,感觉一脑子浆糊,真是蛋疼. 先粗略讲一些前置知识. 一:MAC和DAC DAC(Discretionary Access Control),自主访问控制,是最常用的一类访问控制机制,意思为主体 ...

  4. Linux LSM(Linux Security Modules) Hook Technology

    目录 . 引言 . Linux Security Module Framework Introduction . LSM Sourcecode Analysis . LSMs Hook Engine: ...

  5. linux security module机制

    linux security module机制 概要 Hook机制,linux MAC的通用框架,可以使用SElinux, AppArmor,等作为不同安全框架的实现

  6. jmGraph:一个基于html5的简单画图组件

    jmGraph:一个基于html5的简单画图组件 特性: 代码书写简单易理解 面向对象的代码结构 对图形控件化 样式抽离 模块化:入seajs实现模块化开发 兼容性:暂只推荐支持html5的浏览器:i ...

  7. Mario是一个基于.NETCore的简单快速开发框架

    Mario .NET Core简单快速开发框架 Mario是一个基于.NET Core的简单快速开发框架 GitHub:https://github.com/deeround/Mario 技术特点 基 ...

  8. RabbitMQ学习之(五)_一个基于PHP的RabbitMQ操作类

    //amqp.php类文件 <?php class Amqp { public $e_name; public $q_name; public $k_route; public $channel ...

  9. 一个基于jQuery的简单树形菜单

    在工作中的项目使用的是一个前端基于 jQuery easyui 的一个系统,其中左侧的主菜单使用的是 easyui 中的 tree 组件,不是太熟悉,不过感觉不是太好用. 比如 easyui 中的 t ...

随机推荐

  1. Exponial~(欧拉函数)~(发呆题)

    Description Everybody loves big numbers (if you do not, you might want to stop reading at this point ...

  2. Dozer数据对象转换神器

    Dozer数据对象转换神器  

  3. svn“Previous operation has not finished; run 'cleanup' if it was interrupted“ 或者不能cleanup,或者提示空目录 报错的解决方法

    参考了文档: http://blog.csdn.net/superch0054/article/details/38668017 今天碰到了个郁闷的问题,svn执行clean up命令时报错“Prev ...

  4. c# vs2008报表

    1. 做报表没做几次,第一次做的都忘记了,还好今天做一下就把报表弄成功了.报表中“参数字段”是可以变的,就是说需要自己赋值或者是要计算的.而在苏据库字段里面的是固定的值.不需要计算(注:有的字段查询出 ...

  5. 使用apache构建OpenStack内部yum源

    安装apache yum install httpd -y 上传openstack-mitaka-rpms.tar包,链接:http://pan.baidu.com/s/1kVA1wKv 密码:q26 ...

  6. Linux : 从私钥中提取公钥

    已知一个私钥, 如何从其中提取公钥出来? 提取公钥 ssh-keygen -y -f /path/to/private_key > /path/to/public_key

  7. The service base of EF I am using

    using CapMon.Data; using System; using System.Collections.Generic; using System.Linq; using System.T ...

  8. LeetCode 4 :Majority Element

    problem:Given an array of size n, find the majority element. The majority element is the element tha ...

  9. java对象内存大小评估

    Java对象的内存布局:对象头(Header).实例数据(Instance Data)和对齐填充(Padding).无论是32位还是64位的HotSpot,使用的都是8字节对齐.也就是说每个java对 ...

  10. 使用div实现progress进度条

    在百度上搜了很多方法去修改HTML5 progress的样式,然而并没有实现. 所以自己用div实现了一个. 简单粗暴(*^-^*)  可以在CSS里改样式,可以JS里改进度. <div cla ...