Security-enhanced Linux è un prototipo di ricerca del kernel di Linux® ed un numero di utilities con avanzate funzionalità di siscurezza disegnate semplicemente per dimostrare il valore del mandatory access controls alla comunità Linux e come detti controlli potrebbero essere aggiunti a Linux. Il kernel di Security-enhanced Linux contiene un architettura di nuovi componenti originariamente sviluppati per aumentare la sicurezza del sistema operativo Flask. Le componenti che compongono detta architettura forniscono un supporto generale per l'enforcement di molti tipi di policy mandatory access control, incluse quelle basate sui concetti del Type Enforcement®, Role-based Access Control, e Multi-level Security.

Il kernel di Security-enhanced Linux forza le policy mandatory access control che confinano i programmi utente ed i servers del sistema nel minimo ammontare di privilegi possibile che richiedono per il loro lavoro. Quando confinati in questo modo, quando sono stati compromessi, le capacità di causare danni di questi programmi utente e di questi demoni (via buffer overflows o misconfigurazioni, ad esempio) sono ridotte o eliminate. Questo meccanismo di confinamento opera indipendentemente dal tradizionale meccanismo di controllo di accesso Linux. Esso non ha nessun concetto di "root" super-user, e non condivide le ben conosciute imperfezioni dei meccanismi di sistemi di sicurezza Linux tradizionali (come la dipendenza dai binari setuid/setgid).

La sicurezza di un sistema Linux non modificato dipende dalla correttezza del kernel, tutte le applicazioni privilegiate ed ogniuna delle loro configurazioni. Un problema in ogniuna di queste aree potrebbe compromettere l'intero sistema. Contrariamente, la sicurezza di un sistema modificato basato sul kernel Security-enhanced Linux dipende principalmente dalla correttezza del the kernel e dalla configurazione della sua policy di sicurezza. Mentre problemi con la correttezza o configurazione dell'applicazione potrebbero limitatamente compromettere programmi utente individuali e demoni di sistema, essi non pongono a rischio di sicurezza gli altri programmi utente o demoni di sistema o la sicurezza complessiva dell'intero sistema.

Le nuove caratteristiche di Security-enhanced Linux sono disegnate per forzare la separazione delle informazioni basandosi su requisiti di confidenzialità ed integrità. Esse sono disegnate per prevenire che i processi possano leggere dati e programmi, alterare dati e programmi, bypassare i meccanismi di sicurezza delle applicazioni, eseguire programmi sconosciuti, o interferire con altri processi in violazione della policy di sicurezza del sistema. Inoltre aiutano a confinare il potenziale danno che può essere causato da programmi maliziosi o corrotti. Potrebbe anche essere utilizzata per abilitare un singolo sistema ad essere usato da utenti con differenti autorizzazioni di sicurezza nell'accedere a molteplici tipi di informazioni con requisiti di sicurezza differenti senza compromettere questi requisiti di sicurezza.

Puoi scaricarlo da http://www.nsa.gov/selinux/

Security-enhanced Linux include le patches al kernel Linux e patches ad un numero di applicazioni ed utilities standard. Include anche un numero di nuove utilities, files di supporto, e documentazione. Attualmente la maniera più facile di creare ed installare Security-enhanced Linux è quella di duplicare il nostro albero di sorgenti (linux-2.6 e selinux-usr) e de seguire le istruzioni del documento selinux-doc/README. Abbiamo fornito archivi compressi del nostro albero di sorgenti, sia diversi modi di crearlo acquisendo solo le nostre modifiche dal nostro sito web (http://www.nsa.gov/selinux/).

Si. Devi avere un sistema Linux esistente. La distribuzione del Security-enhanced Linux è il codice sorgente per un kernel di linux modificato ed alcune utilities. Devi anche avere la possibilità di compilare un kernel ed avere anche i necessari, ma non modificati pachhetti di sistema. Siamo a conoscenza che la nostra distribuzione si installa su distribuzioni Red Hat, e non è stata testata con altre.

Security-enhanced Linux fornisce una compatibilità binaria con le applicazioni Linux esistenti ed i moduli del kernel, ma alcuni moduli potrebbero richiedere alcune modifiche per interagire propriamente con SELinux. Queste due categorie di compatibilità sono discusse in dettaglio qui sotto:

1. Compatibilità delle applicazioni

SELinux fornisce una compatibilità binaria con le applicazioni esistenti. Abbiamo esteso la struttura dati del kernel per includere nuovi attributi di sicurezza, abbiamo aggiunto nuove chiamate API per applicazioni che si informino della sicurezza. Comunque, non abbiamo cambiato alcuna struttura dei dati visibile alle applicazioni e non abbiamo cambiato l'interfaccia di nessuna chiamata al sistema, così le applicazioni esistenti possono essere eseguite senza cambiamenti se la policy di sicurezza autorizza le loro operazioni.

2. Compatibilità dei moduli del kernel

Originariamente , solo SELinux forniva compatibilità sorgente per i moduli del kernel esistenti; era necessaria la ricompilazione di questi moduli sui kernel headers modificati per acquisire i nuovi campi di sicurezza aggiunti alla struttura dati del kernel. Fino a che LSM e SELinux sono state integrate nella stessa linea di kernel Linux, SELinux ora fornisce la compatibilità binaria con i moduli del kernel esistenti. Comunque, alcuni moduli possono non interagire bene con SELinux se non vengono modificati. Per esempio, se un modulo del kernel alloca direttamente ed impone un oggetto del kernel senza usare le normali funzioni di inizializzazione del cuore del kernel, allora all'oggetto potrebbero mancare le giuste informazioni di sicurezza. Alcuni moduli del kernel potrebbero anche non avere i giusti controlli di sicurezza verso le loro operazioni; ogni chiamata esistente a funzionalità del kernel o a funzioni di permesso azioneranno comunque i controlli dei permessi di SELinux, ma i controlli finemente granulati o dei controlli addizionali potrebbero essere necessari per forzare le policy MAC.

Security-enhanced Linux fornisce una configurazione opzionale di supporto allo sviluppo (CONFIG_SECURITY_SELINUX_DEVELOP) che permette al sistema di essere eseguito nella modalità permissive che compie l'audit ma non forza il mandatory access controls. Noi stiamo usando questa modalità mentre sviluppiamo il mandatory access controls e le policy di sicurezza per deteminare i permessi richiesti al sistema per operare. Quando compilato, con queste opzioni, il kernel è inizialmente in modo permissive, e può essere cambiato tra permissive ed enforcing in qualsiasi momento. I nuovi utenti di Security-enhanced Linux saranno contenti di utilizzare questa modalità inizialmente perchè i loro sistemi potrebbero richiedere alcuni permessi che non sono inclusi nella configurazione delle policy d'esempio, specialmente fino a che la configurazione della policy d'esempio non è ancora completa. Per l'uso "operativo", il kernel dovrà essere compilato con questa opzione.

Security-enhanced Linux non introduce alcun problema di interoperabilità con i sistemi linux ordinari finchè le operazioni desiderate sono autorizzate dalla configurazione della policy di sicurezza.

Al massimo livello gli obbiettivi sono di dismostrare la flessibilità e la sicurezza del mandatory access controls e di fornire un semplice sistema funzionante con le minime modifiche alle applicazioni. Al minimo livello, la policy ha un numero di obbiettivi descritti nella documentazione della policy. Questi obbiettivi includono il controllare l'accesso grezzo ai dati, proteggere l'integrità del kernel, software di sistema, configurazione delle informazioni di sistema e logs, confinare il danno potenziale che può essere causato mediante l'exploitation di una vulnerabilità in un processo che richiede privilegi, proteggere i processi privilegiati ed i processi dall'eseguire codice malizioso, proteggere il ruolo di amministratori ed il dominio dall'essere penetrati senza autenticazione utente, prevenire che i processi ordinari degli utenti possano interferire con i processi di sistema o dell'amministratore, e proteggere gli utenti e gli amministratori dall'exploitation di vulnerabilità dei loro brwser da codice mobile malizioso.

Linux è stato scelto come piattaforma per via del successo raggiunto come ambiente di sviluppo aperto. Linux fornisce un eccellente opportunità per dimostrare che queste funzionalità può essere implementate con successo in un sistema operativo diffuso, ed allo stesso tempo, contribuire alla sicurezza di un sistema operativo largamente usato. Una piattaforma Linux inoltre offre un eccellente opprotunità per questo lavoro di ricevere la massima rassegna possibile e quindi fornire opportunità per ulteriori ricerche sulla sicurezza per gli altri.

Il "Information Assurance Research Group" della National Security Agency è responsabile di portare avanti le ricerche e lo sviluppo avanzato delle tecnologie che consentono alla NSA di fornire le soluzioni, prodotti, e servizi per ottenere Sicurezza delle Informazioni per strutture informative critiche per gli interessi della sicurezza nazionale degli U.S..

La creazione di un sistema operativo possibilmente sicuro rimane un problema di ricerca critico. Il nostro obiettivo è la creazione di un architettura efficiente che fornisce i requisiti richiesti per la sicurezza, che esegua i programmi in un modo che sia più trasparente all'utente, e più attraente per i venditori. Crediamo che il passo essenziale per il raggiungimento di questo obbiettivo sia dimostrare come il mandatory access controls possa essere integrato con successo in un sistema operativo diffuso.

Nella ricerca l'Information Assurance Research Group dell'NSA ha lavorato con il Secure Computing Corporation (SCC) per sviluppare una forte, flessibile, architettura mandatory access control basata sul Type Enforcement, un meccanismo prima sviluppato per il sistema LOCK. NSA e SCC svilupparono due prototipi dell'architettura Mach-based: DTMach e DTOS (http://www.cs.utah.edu/flux/dtos/). NSA e SCC quindi hanno lavorato con il Flux research group dell'università dello Utah per trasferire l'architettura al sistema operativo di ricerca Fluke. Durante questo trasferimento, l'architettura è stata avanzata per fornire miglior supporto per le policy di sicurezza dinamiche. Questa architettura avanzata fu chiamata Flask (http://www.cs.utah.edu/flux/flask/). NSA ora ha integrato l'architettura Flask les sistema operativo Linux per trasferire la tecnologia ad una più larga comunità di sviluppatori ed utenti.

No. La frase "Trusted Operating System" generalmente si riferisce ad un sistema operativo che provvede ad un sufficiente supporto per la sicurezza miltilivello e prova di avere i requisiti corretti richiesti per un particolare set di esigenze governative. Security-enhanced Linux incorpora le idee utili da questi sistemi ma si focalizza sul mandatory access controls. Ci si aspetta che questo lavoro sia combinato con altri sforzi (es., auditing e documentazione) per la costruzione di un sistema "trusted". L'obbiettivo iniziale dello sviluppo di Security-enhanced Linux è stato quello di creare le funzionalità più utili che dessero benefici di protezione tangibile in un gran numero di situazioni reali per dimostrare la tecnologia.

La nozione di un sistema sicuro include molti attributi (es., sicurezza fisica, sicurezza personale, etc.) e Security-enhanced Linux pone soluzione solo ad un ristretto numero di questi attibuti (es., mandatory access controls nel sistema operativo). Mettiamola in un altro modo, "i sistemi sicuri" intendono essere abbastanza sicuri da proteggere alcune informazioni del mondo reale diversamente dalle informazioni di cui si possano preoccupare un proprietario e/o utente. Security-enhanced Linux è solo un prototipo di ricerca che intende dimostrare i mandatory access controls in un moderno sistema operativo come Linux perciò è molto improbabile far coincidere qualsiasi definizione di un sistema operativo sicuro. Crediamo che la tecnologia dimostrata in Security-enhanced Linux avrà valore per quelle persone che costruiranno sistemi sicuri.

Lo scopo principale del progetto è stato quello di aggiungere il mandatory access controls e fare i minimi cambiamenti a . Questo obbiettivo secondario limita molto quello che può essere fatto per accrescere la sicurezza, così non è stato fatto alcun lavoro indirizzato ad accrescere l'assicurazione di Linux. D'altra parte, gli avanzamenti sono basati su precedenti lavori di disegnare un architettura ad alta assicurazione e molti di questi principi di disegno sono stati portati su Security-enhanced Linux.

Security-enhanced Linux non è stato valutato e non ci sono piani per farlo valutare. Security-enhanced Linux non è disegnato per rispondere al set completo di problematiche di sicurezza come rappresentato dal profilo di protezione. Comunque è possibile valutare le sue attuali funzionalità, crediamo che una valutazione limiti abbia valore limitato. Noi guardiamo oltre le recensioni e le critiche del lavoro come parte del lavoro con la comunità di sviluppo di Linux. Speriamo di lavorare con altri per incorporare questa tecnologia in un più completo sistema che possa essere più appropriato ed utilizzabile oggetto di valutazione. (Per maggiori informazioni sulle valutazioni CCEVS, visitate il loro sito web su http://niap.nist.gov/cc-scheme/.)

No, non abbiamo siamo andati alla ricerca di alcuna vulnerabilità nel corso del nostro lavoro. Abbiamo fatto esclusivamente i cambiamenti per aggiungere i nostri nuovi meccanismi.

Security-enhanced Linux non fa parte di alcuna versione di Linux approvata e non ha alcuna approvazione speciale o aggiuntiva per l'uso governativo rispetto a qualsiasi altra versione di Linux.

Security-enhanced Linux ha un architettura ben definita per un flessibile mandatory access controls che è stato sperimentalmente validato attraverso diversi sitemi prototipo (DTMach, DTOS, Flask). Studi dettagliati sono stati compiuti sulla capacità dell'architettura di supportare un gran numero di policies di sicurezza che si possono trovare su http://www.cs.utah.edu/flux/dtos/ e http://www.cs.utah.edu/flux/flask/.

L'architettura fornisce controlli finemente granulati su molte astrazioni del kernel e servizi che non sono controllati da altri sistemi. Alcune delle caratteristiche distintive del sistema Security-enhanced Linux sono:

    * Chiara separazione delle Policy dall'Enforcement
    * Interfacce di Policy ben definite
    * Independenza da specifiche Policies e linguaggi di Policy
    * Independenza da specifici formati di etichette di sicurezza e contenuti
    * Etichette individuali e controlli per gli oggetti del kernel e dei servizi
    * Caching delle decisioni di accesso per l'efficienza
    * Supporto per il cambiamento delle Policy
    * Controllo sull'inizializzazione dei processi e  l'ereditarietà e l'esecuzione dei programmi
    * Controllo sul filesystem, directories, files, ed descrizioni dei file aperti
    * Controllo sui sockets, messaggi , ed interfacce di rete
    * Controllo sull'uso delle "Capacità"

Tutti i codici sorgente che si trovano sul sito sono rilasciati sotto gli stessi termini e condizioni dei sorgenti originali. Per esempio, le patches al kernel di Linux, le patches a molte utilities esistenti, e i nuovi programmi e librerie che sono disponibili qui sono rilasciati sotto i termini e le condizioni della GNU General Public License (GPL). Le patches ad alcune utilities e libraries esistenti che si trovano qui sono rilasciate sotto i termini e le condizioni della licenza BSD.

Non ci sono controlli aggiuntivi sull'esportazione di Security-enhanced Linux e su ogni altra versione di Linux.

Per ovvie ragioni, NSA non ha commenti sugli usi operativi.

La posizione di NSA non è cambiata. NSA continua a credere che i termini e le condizioni della GNU General Public License governi l'uso, copia, distribuzione, e modifica di SELinux. Date un occhiata a NSA Press Release del 2 gennaio 2001.

L'iniziativa di NSA nell'avanzare la sicurezza del software copre sia software proprietario che software open source, ed abbiamo usato con successo entrambe i modelli proprietario ed open source nelle nostre attività di ricerca. Il lavoro dell'NSA di innalzare la sicurezza del software è motivata da una semplice considerazione: Usare le nostre risorse nel modo più efficiente possibile per dare ai clienti dell'NSA le migliori opzioni di sicurezza possibili ed i prodotti impiegati più vasti. L'obbiettivo del programma di ricerca dell'NSA è di sviluppare avanzamenti tecnologici che possano essere condivisi con le comunità di sviluppo software attraverso un variegato meccanismo di trasferimento. NSA non favorisce o promuove uno specifico prodotto software o modello di affari. Piuttosto, NSA promuove la sicurezza avanzata.

Abbiamo un set di pagine web http://www.nsa.gov/selinux/ che serviranno come notro sistema primario per pubblicare le informazioni su Security-enhanced Linux. Se sei interessato in Security-enhanced Linux, ti incoraggiamo a partecipare alla mailing list degli sviluppatori, guarda il nostro codice sorgente, e dacci il tuo feedback (o codice). Per partecipare alla mailing list degli sviluppatori, guarda qui http://www.nsa.gov/selinux/info/list.cfm.

Questa è una breve lista (non in ordine particolare) di alcuni dei molti compiti rimasti da fare.

    * Creare una documentazione di guida per gli amministratori
    * Creare una documentazione di guida utente
    * Creare una documentazione di guida per gli sivluppatori di applicazioni
    * Portare le patch del kernel all'ultima versione 2.6.
    * Portare le patches delle utility all'ultima versione delle utilities di base
    * Migliorare e semplificare il sistema di configurazione delle policy
    * Completare le configurazioni generali delle policy
    * Eseguire il testing funzionale e di prestazionale
    * Integrare IPSEC con i network mandatory controls
    * Implementare i mandatory controls per l'NFS
    * Implementare le directories poliinstanziate
    * Implementare le porte poliinstanziate
    * Implementare le notificazioni per le operazioni completate
    * Implementare le callbacks per i cambiamenti di policy
    * Integrare le esistenti crittografazioni dei file pubbliche con i mandatory controls

Speriamo di attrarre premurosi commenti e contributi da molti membri della comunità di sviluppatori Linux. Tutti o commenti ed i contributi spediti alla mailing list selinux@tycho.nsa.gov saranno considerati per l'inclusione delle versioni future.

NSA non sta sollecitando le proposte per lavori successivi in questo momento.

Intendiamo avere a che fare con le problematiche mediante la mailing list, selinux@tycho.nsa.gov ma non siamo in grado di rispondere ad ogni domanda relativa ad un indirizzo specifico.

Il prototipo Security-enhanced Linux fu sviluppato in congiunzione con partners di ricerca quali NAI Labs, Secure Computing Corporation (SCC), e la MITRE Corporation. I ricrcatori alla NSA hanno implementato l'architettura di sicurezza nei principali sottosistemi del kernel di Linux, includendo i mandatory access controls per le operazioni sui processi , files, e sockets. NAI Labs sta lavorando con NSA in ulteriori sviluppi e configurazioni dei sistemi Security-enhanced Linux, incluso lo sviluppo di ulteriori mandatory access controls del kernel e la creazione di configurazioni di policy di sicurezza generali. Le configurazioni delle policy di sicurezza disegnate su alcune configurazioni preliminari su cui ha lavorato inizialmente SCC, ed anche quelle disegnate dal NAI Labs come le configurazioni Domain e il Type Enforcement (DTE) funzionano. SCC, MITRE e NAI Labs assistono NSA anche nello sviluppo di policy di sicurezza per le applicazioni e nell'evoluzione di programmi ed utility per il sistema.

Ti incoraggiamo a visitare le nostre pagine web, leggi la documentazione e le pubblicazioni passate e partecipa alla nostra mailing list, selinux@tycho.nsa.gov.