嵌入式Linux系統(tǒng)安全性問題的解決

　　目前很多運行在局域網(wǎng)甚至Internet上的產(chǎn)品如雨后春筍般涌向市場，比如：智能家居、安卓手機等。這些產(chǎn)品在方便用戶的同時也出現(xiàn)一些安全問題，系統(tǒng)置于網(wǎng)絡(luò)上相當(dāng)于暴露給所有人，故對嵌入式產(chǎn)品安全性研究刻不容緩。嵌入式產(chǎn)品由于尺寸、成本的約束注定不可能從硬件部分提供更多的安全措施，故提升安全性重點應(yīng)考慮Linux內(nèi)核。

　　1嵌入式Linux系統(tǒng)存在的安全問題

　　開源的Linux內(nèi)核無論在功能上或性能上都有很多優(yōu)點，但Linux內(nèi)核屬于開源項目，缺少提供商的安全保證，所以需要使用者最大限度地提升系統(tǒng)的安全性。根據(jù)實際情況裁剪Linux內(nèi)核，并采取適當(dāng)?shù)陌踩�措施可提升系統(tǒng)的安全性。掌握Linux核心技術(shù)、配合先進的安全模型、增強其安全性進而研發(fā)安全的操作系統(tǒng)非常有必要。Linux的安全性問題從機制角度可以有以下幾點：

　　(1) Linux系統(tǒng)訪問控制。Linux系統(tǒng)主流發(fā)行版本的訪問控制屬于自主訪問控制;自主訪問控制控制模式任何一個活動主體對應(yīng)用戶標(biāo)識和組標(biāo)識。顯然自主訪問控制模式的問題是忽略了用戶的角色、程序可信性等安全信息，故不能提供有效的安全性保障。

　　(2) Linux系統(tǒng)管理。Linux系統(tǒng)中用戶可以分為兩類，一類是普通用戶，另一類是管理員用戶。Linux系統(tǒng)管理員用戶擁有系統(tǒng)所有權(quán)限，包括用戶管理、設(shè)備管理、審計管理和安全管理等;這樣方便了管理員管理，易于用戶操作，但是違背了“最小特權(quán)”管理原則。Linux系統(tǒng)的安全性只是建立在管理員必須正確設(shè)置系統(tǒng)功能、且不被冒充和不存在安全漏洞等一系列假設(shè)的基礎(chǔ)上。顯而易見這樣的系統(tǒng)存在巨大的風(fēng)險，假如系統(tǒng)管理員被非法控制，系統(tǒng)將沒有安全性可言。

　　(3) Linux系統(tǒng)日志。Linux系統(tǒng)中的日志功能從設(shè)計到實現(xiàn)不是以系統(tǒng)安全為目標(biāo)而是以內(nèi)核調(diào)試為目的;此與系統(tǒng)安全審計有很大差距：第一，缺乏資源訪問方面的記錄;第二，不能詳細記錄系統(tǒng)發(fā)生的事件;最后，缺少必要數(shù)據(jù)分析與警告。

　　由此可見，嵌入式Linux內(nèi)核自身的安全功能相當(dāng)薄弱，對于安全性要求比較高的產(chǎn)品，則需要提高Linux內(nèi)核的安全性。

　　2安全性問題解決方案

　　提升Linux安全性所采取措施主要有在Linux系統(tǒng)內(nèi)核使用安全模塊和安裝必要的防火墻，還有一些嵌入式特有的安全措施。

　　(1) 使用安全模塊LSM (Linux Security Modules)。2001年一次Linux內(nèi)核峰會中美國國家安全局推出了他們的安全增強Linux(SELinux)，與此同時Linux內(nèi)核創(chuàng)始人提出，Linux內(nèi)核作為一個開放的系統(tǒng)的確應(yīng)該有一個通用的安全訪問控制框架，不過也提出應(yīng)該可以使用加載內(nèi)核模塊的方式來支持不同的安全模塊， Linux內(nèi)核的安全模塊從此產(chǎn)生。下面可以通過圖1來了解一下安全模塊工作原理。

　　從圖1中可知，Linux安全模塊工作原理是通過使用函數(shù)回調(diào)的方法，系統(tǒng)根據(jù)用戶配置來判斷內(nèi)核對象的訪問。系統(tǒng)運行進程執(zhí)行系統(tǒng)調(diào)用時找到I節(jié)點并分配相關(guān)資源，就在即將訪問相應(yīng)的對象時，系統(tǒng)立即調(diào)用Linux安全模塊提供的函數(shù)，對安全模塊提出疑問：“是否允許訪問該對象?”，安全模塊根據(jù)用戶設(shè)定的安全策略進行判斷該次訪問是否具有相應(yīng)的權(quán)限。在安全模塊里可以調(diào)用不同的安全模塊，使用較多的有SELinux 、Smack (Simplified Mandatory Access Control Kernel)、TOMOYO等。

　　SELinux安全模塊。該模塊的使用使得系統(tǒng)由原來的自主訪問機制改變?yōu)閺娭圃L問控制機制。但是SELinux安全模塊并不適用于處理能力有限嵌入式產(chǎn)品，原因有以下幾點：首先，SELinux模塊的細粒度訪問控制造成安全策略的復(fù)雜性，例如：Fedora發(fā)行版本里就超過800 000行，如此復(fù)雜的安全策略肯定不能應(yīng)用于嵌入式系統(tǒng);其次，在使用SELinux模塊后，若要運行某一個進程時，需要給出所有要調(diào)用函數(shù)的權(quán)限才能運行，在本身資源短缺的嵌入式產(chǎn)品里非常不適用;另外一點，當(dāng)系統(tǒng)安全策略頻繁改變時，要將文件系統(tǒng)重新設(shè)置且重新裝載到內(nèi)核里，嵌入式文件系統(tǒng)一般都燒寫在FLASH中，需要重新燒寫文件系統(tǒng)，這對于最終用戶是不可能實現(xiàn)的事。使用SELinux模塊后，要求系統(tǒng)支持文件擴展屬性，而嵌入式系統(tǒng)經(jīng)常采用的文件系統(tǒng)有CRAMFS、JFFS2等，這些文件系統(tǒng)本身不支持屬性擴展。由此可見，SELinux安全模塊不適合在嵌入式產(chǎn)品中使用。

　　Smack安全模塊的原理與SELinux模塊一樣，同樣是強制訪問控制的一個實現(xiàn)，與SELinux不同的是使用簡單的配置策略來代替配置復(fù)雜的SELinux。因為Smack安全模塊基于標(biāo)簽實現(xiàn)強制訪問控制，故需要支持標(biāo)簽的文件系統(tǒng)支持。使用Smack安全模塊需要完成3部分工作：配置修改Linux內(nèi)核支持Smack、設(shè)置Smack腳本以及用戶空間應(yīng)用程序的修改�；�于標(biāo)簽實現(xiàn)強制訪問的Smack模塊需要修改根文件系統(tǒng)，所以Smack不適合作為嵌入式系統(tǒng)的安全模塊。

　　TOMOYO安全模塊是基于路徑名的強制訪問控制安全模塊，由NTT DATA公司開發(fā)和維護。MOTOYO 身材較小，只有100K左右代碼、300K策略文件，是一個典型的基于路徑面向行為的系統(tǒng)分析者和保護者，適合在嵌入式產(chǎn)品使用。MOTOYO安全模塊擁有圖形界面編輯策略工具，方便用戶編輯策略，除此之外還支持友好的學(xué)習(xí)模式與強制模式。

【嵌入式Linux系統(tǒng)安全性問題的解決】相關(guān)文章：

嵌入式Linux詳解09-15

嵌入式Linux系統(tǒng)概述08-13

怎么學(xué)習(xí)嵌入式linux09-03

Linux系統(tǒng)安全的九個關(guān)鍵點08-16

如何學(xué)習(xí)嵌入式Linux系統(tǒng)08-29

嵌入式linux入門學(xué)習(xí)規(guī)劃09-10

Linux認證考試嵌入式考試大綱09-20

Linux系統(tǒng)死機解決方法08-30

關(guān)于嵌入式Linux系統(tǒng)基礎(chǔ)知識09-29

嵌入式Linux入門六大步驟08-13