收藏本站
《解放军信息工程大学》 2004年
收藏 | 手机打开
二维码
手机客户端打开本文

Linux下Capabilities安全机制的分析与改进

巫晓明  
【摘要】:Capabilities(本文译为“权能”)是Linux操作系统对特权操作进行访问控制的一种安全机制,POSIX.le标准草案中有对它的具体描述。 在老版本的Linux操作系统中,进程的特权操作是根据进程的有效用户身份来进行访问控制的。即以root为有效用户身份的进程可以进行任何特权操作,而其它用户的进程则不能进行任何特权操作。因此,在Linux系统中以root为有效用户身份的每个进程,不管需不需要,都拥有系统所有的特权。而在大多数情况下,进程完成其服务功能时并不需要什么特权,或仅仅需要很少的几种特权。拥有多余特权对系统安全总是不利的。 Capabilities就是针对上面的问题而提出来的,目的在于实现一种更加细粒度的特权操作的访问控制,使用户能够根据实际的安全需要来控制一个进程拥有的特权范围,从而能够取消进程的多余特权及多余特权带来的安全隐患。Capabilities的主要思想是:将root用户拥有的所有特权分割成多种权能,每种权能代表进行某种特权操作的权限;在系统所有实体中,只有进程和可执行文件具有权能的信息;系统根据一定的策略赋予进程权能,并根据进程拥有的权能来进行特权操作的访问控制。 Linux从内核版本2.1起就开始支持Capabilities。但是,由于文件系统的制约,Linux没有实现可执行文件的权能。因此,用户还不能根据实际的安全需要来具体设置可执行文件的权能,从而控制相应进程拥有的权能范围。 本文主要阐述了我们对Linux下的Capabilities所作的改进与完善,使用户能够方便地利用Capabilities机制来提高Linux系统的安全。我们主要从两方面对Capabilities进行改进与完善。一是实现了可执行文件的权能,使用户可通过配置可执行文件的权能来灵活控制相应进程拥有的权能范围;二是对系统赋予进程权能的策略(即进程权能计算公式)进行了改进,从而实现了在只有一种权能配置的情况下,不同用户的进程在执行同一程序时可以拥有不同的权能。另外,我们还在Linux下实现了基于程序(进程)鉴别的ACL(Access Control List)文件访问控制,使用户能够对可执行文件的权能配置信息以及其它系统资源提供更好的保护。同时,为了方便用户以“最小权限”的原则来配置可执行文件权能,我们提供了获取进程所需最小权能集的方法与途径。本文最后讲述了如何使用改进后的Capabilities来提高Linux系统的安全性。
【学位授予单位】:解放军信息工程大学
【学位级别】:硕士
【学位授予年份】:2004
【分类号】:TP316

免费申请
【共引文献】
中国期刊全文数据库 前10条
1 王小龙,何克忠,房小翠,丁冬花;Linux设备驱动开发方法及应用实例[J];北京工商大学学报(自然科学版);2005年03期
2 张威;黄冲;;嵌入式Linux设备驱动的设计方法研究[J];江西师范大学学报(自然科学版);2007年04期
3 宋虎,李秉智;构建基于RTLinux的嵌入式系统研究与开发[J];重庆邮电学院学报(自然科学版);2005年03期
4 李斌,王晓航,施冲;嵌入式通信管理装置的设计和实现[J];水电自动化与大坝监测;2004年03期
5 习博,方彦军;基于嵌入式uClinux系统工业以太网接口的设计与实现[J];电测与仪表;2005年04期
6 戴缘生,孙苓生;一种基于嵌入式Internet的新型智能仪表的设计[J];电气应用;2005年03期
7 张凤梅,洪运国;Linux下的多线程编程方法研究[J];大连民族学院学报;2005年01期
8 段吉泉;段斌;;变电站GOOSE报文在IED中的实时处理[J];电力系统自动化;2007年11期
9 习博,方彦军;嵌入式监测系统中网络通信的研究与实现[J];电力自动化设备;2004年07期
10 张宁芳;雷健俊;;遥信功能在电力负荷控制系统中应用[J];电力自动化设备;2006年04期
中国重要会议论文全文数据库 前10条
1 王锦玉;宋秋贵;;嵌入式Linux驱动开发[A];全国ISNBM学术交流会暨电脑开发与应用创刊20周年庆祝大会论文集[C];2005年
2 黄宁宁;苏红帆;;计算机取证系统核心技术分析[A];广西计算机学会2006年年会论文集[C];2006年
3 张平;张石;鲍喜荣;;基于Sitsang板的车载多媒体远程监控服务系统[A];第16届中国过程控制学术年会暨第4届全国故障诊断与安全性学术会议论文集[C];2005年
4 何泉;贺玉梅;;嵌入式Linux下GPIO驱动程序的开发及应用[A];2007'中国仪器仪表与测控技术交流大会论文集(一)[C];2007年
5 陈鼐;于盛林;;基于ARM的LCD模块接口设计及MiniGUI实现[A];2007'中国仪器仪表与测控技术交流大会论文集(一)[C];2007年
6 杜明芳;苏玮;李小珉;;基于UDP协议的以太网防盗报警系统集成[A];2007'中国仪器仪表与测控技术交流大会论文集(二)[C];2007年
7 蔡功;蒋大林;韦燕凤;李琳;;基于图像的路侧车位检测器的设计与实现[A];中国仪器仪表学会第九届青年学术会议论文集[C];2007年
8 赵新明;张杭;王大平;;基于嵌入式Linux的通信管理机的研制[A];第一届电器装备及其智能化学术会议论文集[C];2007年
9 吴平;曹晓琳;丁铁夫;;基于嵌入式以太网的语音采集传输系统[A];第三届全国信息获取与处理学术会议论文集[C];2005年
10 杨健;张慧慧;;基于嵌入式系统的数据采集系统网络接入的设计与实现[A];第七届青年学术会议论文集[C];2005年
中国博士学位论文全文数据库 前2条
1 向东;iSCSI-SAN网络异构存储系统管理策略的研究[D];华中科技大学;2004年
2 戴鸿君;基于异构多核体系与组件化软件的嵌入式系统研究[D];浙江大学;2007年
中国硕士学位论文全文数据库 前10条
1 陈坚华;基于ARM7TDMI的uClinux移植[D];浙江大学;2003年
2 万加富;嵌入式Linux的移植及其在网络测控中的应用研究[D];广东工业大学;2003年
3 朱晓舒;数字程控交换机嵌入式网络接口系统的设计[D];南京师范大学;2003年
4 林延娥;操作系统支撑的设计与实现[D];西南交通大学;2003年
5 刘万里;实时嵌入式LINUX设计与实现[D];西南交通大学;2003年
6 李华宇;基于IPSec协议的VPN系统在Linux下的实现[D];四川大学;2003年
7 钱曙光;基于DSP的USB口数据分析系统研究与实现[D];浙江大学;2003年
8 马琦;网络计算机上块设备的设计与实现[D];中国人民解放军信息工程大学;2003年
9 邱巍;嵌入式linux操作系统移植[D];武汉理工大学;2004年
10 江恒;旋转机械实时在线状态监测系统的研究——数据采集卡的研究与设计[D];浙江大学;2004年
【同被引文献】
中国期刊全文数据库 前7条
1 程海蓉;信息安全专题介绍之一:入侵检测系统IDS的研究与展望[J];计算机辅助工程;2001年04期
2 袁源,罗红,戴冠中,吕鹏;基于LKM的Linux安全检测器的设计与实现[J];计算机应用研究;2005年07期
3 李晓芳;姚远;;入侵检测工具Snort的研究与使用[J];计算机应用与软件;2006年03期
4 须文波,欧爱辉,张星烨;Linux安全操作系统的设计与实现[J];计算机与现代化;2003年10期
5 彭晶;刘伟平;黄红斌;谢静;李西明;;入侵检测系统中数据包截获技术的研究和设计[J];计算机工程与设计;2006年23期
6 丁志芳,李晓秋,王清贤,李梅林;Snort规则的分析[J];三峡大学学报(自然科学版);2002年05期
7 闫丽丽;涂天禄;周兴涛;;Libpcap数据包捕获机制剖析与研究[J];网络安全技术与应用;2006年04期
中国博士学位论文全文数据库 前1条
1 田新广;基于主机的入侵检测方法研究[D];国防科学技术大学;2005年
中国硕士学位论文全文数据库 前5条
1 王丽梅;安全Linux访问控制机制研究与实现[D];北京工业大学;2003年
2 林建红;军事网络信息安全系统的研究与设计[D];中南大学;2004年
3 张云鹏;网络安全与防护技术的研究及应用[D];西北工业大学;2005年
4 齐卫东;信息网络安全集中管理平台的研究与设计[D];四川大学;2005年
5 秦从军;某单位内网信息系统安全设计与实现[D];四川大学;2005年
【相似文献】
中国期刊全文数据库 前10条
1 巫晓明,郭玉东;Linux下的Capabilities安全机制的分析与完善[J];计算机应用;2004年S1期
2 李斓,冯登国,徐震;RBAC与MAC在多级关系数据库中的综合模型[J];电子学报;2004年10期
3 孔芳;应用层用户安全机制的设计研究[J];计算机与现代化;2005年02期
4 郭瑞旭 ,何新民;访问控制框架中的策略加权[J];计算机安全;2005年05期
5 李超燕,李如桃;SQL Server 2000的安全认证方式[J];宁波职业技术学院学报;2005年02期
6 沈宇红,黄偲;市级电费核算系统的访问控制[J];中山大学学报(自然科学版);2005年S1期
7 潘常春;主机网络安全及其关键技术研究[J];广西教育学院学报;2005年04期
8 傅翠娇;曹庆华;;计算机网络系统安全漏洞的研究[J];现代电子技术;2006年01期
9 姚志强;蒲江;唐金艺;;802.11无线局域网安全性分析[J];计算机安全;2006年04期
10 宋天平;陆际光;;Web服务器安全的访问控制[J];计算机时代;2006年08期
中国重要会议论文全文数据库 前10条
1 钟鸣;周斌;贾焰;;基于角色的访问控制在Web服务中的研究与实现[A];第二十一届中国数据库学术会议论文集(技术报告篇)[C];2004年
2 周钢;;操作系统访问控制机制的安全性分析和测试[A];第14届全国计算机安全学术交流会论文集[C];1999年
3 刘可静;杨小溪;;网络版权管理战略:版权与技术的结合——网络环境下数字版权管理(DRM)的应用[A];中国知识产权发展战略论坛论文集[C];2005年
4 张平;谷利泽;杨义先;;局域网内身份认证和设备访问控制的新技术[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
5 万仲保;吴军;;基于角色访问控制组件的设计与实现[A];全国计算机安全学术交流会论文集(第二十二卷)[C];2007年
6 普继光;佘堃;;基于角色的访问控制技术[A];第九届全国青年通信学术会议论文集[C];2004年
7 郁滨;王利涛;;一种蓝牙访问控制方案的设计与实现[A];2007'仪表,自动化及先进集成技术大会论文集(一)[C];2007年
8 田静;刘刚;;工作流系统中的安全问题[A];先进制造技术论坛暨第三届制造业自动化与信息化技术交流会论文集[C];2004年
9 邢攸姿;;举起信息安全的大旗 保证网络与信息安全[A];中国航海学会航标专业委员会测绘学组学术研讨会学术交流论文集[C];2006年
10 邹翔;沈寒辉;;政府/行业网络信息交换与共享安全体系及关键技术研究[A];全国计算机安全学术交流会论文集(第二十二卷)[C];2007年
中国重要报纸全文数据库 前10条
1 安广;让证券公司网络更安全[N];计算机世界;2002年
2 CPW记者 曾宪勇;Sinfor M5100-AC访问控制机制完善[N];电脑商报;2005年
3 郑春蕾;绿信:问鼎访问控制业第一品牌[N];中国工业报;2003年
4 本报记者 高岚;啥身份做啥事[N];中国计算机报;2004年
5 本报记者 胡英;访问控制[N];计算机世界;2002年
6 ;推进企业Infranet解决方案[N];网络世界;2005年
7 游文南;访问控制产品国货将走强[N];中国计算机报;2002年
8 王小强;用户级访问控制的实现[N];电脑报;2003年
9 孙成;修改文件访问控制权限 我用Cacls.exe[N];中国电脑教育报;2004年
10 张兵;利用WinSock2 SPI 进行网络内容访问控制[N];网络世界;2002年
中国博士学位论文全文数据库 前10条
1 王立松;基于资源的访问控制理论与应用研究[D];南京航空航天大学;2010年
2 江颉;面向电子服务的访问控制关键技术研究[D];浙江大学;2010年
3 徐杨;空间数据访问控制关键技术研究[D];解放军信息工程大学;2012年
4 田秀霞;数据库服务中保护隐私的访问控制与查询处理[D];复旦大学;2011年
5 张立臣;面向普适计算的主动访问控制模型研究[D];陕西师范大学;2011年
6 杨喜敏;面向多视点设计的EIS访问控制技术研究[D];华中科技大学;2010年
7 蔡伟鸿;基于EUCON的访问控制技术研究[D];华南理工大学;2012年
8 李赤松;访问控制中授权一致性问题的研究[D];华中科技大学;2012年
9 颜学雄;Web服务访问控制机制研究[D];解放军信息工程大学;2008年
10 李斓;面向XML文档的访问控制研究[D];中国科学院研究生院(软件研究所);2004年
中国硕士学位论文全文数据库 前10条
1 巫晓明;Linux下Capabilities安全机制的分析与改进[D];解放军信息工程大学;2004年
2 王新胜;RBAC模型的研究及其应用框架的实现[D];江苏大学;2003年
3 谢东文;企业级应用软件中访问控制技术研究及实现[D];清华大学;2004年
4 张少华;多域访问控制环境中的安全性分析研究[D];湖南大学;2010年
5 丁于思;基于角色的安全访问控制在企业信息系统中的应用研究[D];中南大学;2003年
6 李孝利;基于XML的时态数据库的隐私数据访问控制方案的设计与实现[D];暨南大学;2010年
7 袁洪涛;北内PDM信息系统安全策略的研究与应用[D];北京工业大学;2011年
8 刘岩;SELINUX的研究与改进[D];南京航空航天大学;2010年
9 李凯丰;多租户模式下的信息系统安全问题研究[D];西安电子科技大学;2011年
10 沈伟;应用系统访问控制的研究与实现[D];重庆大学;2004年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026