نظام الحماية SELinux من طرف Linux



                             









             

مع زيادة الحاجة إلى البرامج و الخدمات في الأنظمة ظهرت زيادة بثغرات الأنظمة و التي تتسبب في تصعيد الصلاحيات من مستخدم عادي إلى المستخدم الجذر أو مستخدم ذو صلحيات أعلى. تكون دائما بسبب ثغرة في خدمة أو برنامج أو طريقة تعامل النظام مع شيء أو حقن أوامر و غيرها من الطرق BuffierOverFlow و يقوم المخترق باستغلال الثغرة عن طريق (Remote root/Local root) معين و تُعرف ب و غيرها الكثير. apache , rsync, curl, BIND, NetworkManger ,Netcat و جميعنا يعرف أنه كانت هناك ثغرات خطيرة لل لنظام ( National Security Agency – NSA ) و بناء على ما سبق ذكره,قامت حكومة الولايات المتحدة بأسناد مهمة تطويرية إلى وكالة الامن القومي يحتوي قواعد للتعامل مع الملفات و العمليات و طريقة الاتصال في ما بينهم و هذا بناء على أبحاث أثبتت أن أخطر الثغرات تكمن في أن المستخدم العادي يستطيع تخطي حماية الانظمه الداخلية و كأخطر مثال ما ذكرناه آنفا , أيضا إعطاء التصريح 777 لملفات تنفيذية مهمة و هكذا. و كان قاعدته مبنية على عزل البرامج/العمليات و الملفات ”Flask" على نظام التشغيل ”Mach“ في البداية قامة وكالة الأمن القومية بتطوير نظام إسمه Type Enforcement التنفيذية و المستخدمين عن الملفات و عدم السماح للقسم الأول بالتعامل مع القسم الثاني بشكل ارتجالي و تم تسمية فكرة العزل ب .-TE وجدت الوكالة أن هذه الطريقة فعالة و قوية فقررت دمج هذا النظام في داخل نظام التشغيل الذي سيعمل فيه و قد اختاروا نظام تشغيل مفتوح المصدر و حينها تم تغير اسم (Linux Security Modules - LSM) بعد اذن لينوس تروفالدز) و إسناد حزم ) Linux Kernel فقاموا بإضافة الرقع إلى ال و هو Security Enhancement Linux -SELinux و تم تسمية المشروع ب Mandatory Access Control -MAC التقنية التي يعمل بها إلى .ext2,ext3,ext الن متوفر في أغلب/جميع التوزيعات بشكل افتراضي و يعمل على نظام ملفات 4 هناك مقولة مشهورة في عالم اللينوكس تقول: كل شيء يُعتبر ملف – Every Thing is a File .Group أو User حيث الوصول للملف يخضع إلى تصاريح تقليدية يتحكم بها و المالك سواء كان فالمقولة تصبح: SELinux أما بالنسبة ل كل شيء يُعتبر موضوع – Every Thing is an Object Security) حيث الوصول للموضوع يخضع إلى مجموعة عناصر تخضع تلك العناصر إلى قوانين يتم تطويرها باستمرار حيث هذه العناصر تسمى و هي متجددة أيضا باستمرار. Policy و مجموعة القواعد الموجودة تسمى (Context SELinux)
مصدر الموضوع ويكيبديا ... هنا رابط الموضوع


تعليقات

المواضيع أكثر مشاهدة في الاسبوع

قرار صادم من شركة جوجل لاي مستخدم لخدمات جوجل

Root all robot android روت جميع اجهزة اندرويد

اقوى انتي فايرس dr.web security space life + key till 2017