Módulo de seguridad del kernel de Linux
Smack (nombre completo: Simplified Mandatory Access Control Kernel ) es un módulo de seguridad del kernel de Linux que protege la interacción de datos y procesos de la manipulación maliciosa mediante un conjunto de reglas personalizadas de control de acceso obligatorio (MAC), con la simplicidad como su principal objetivo de diseño. [1] Se ha fusionado oficialmente desde el lanzamiento de Linux 2.6.25, [2] fue el principal mecanismo de control de acceso para el sistema operativo móvil MeeGo . [3] [4] También se utiliza para sandboxear aplicaciones web HTML5 en la arquitectura Tizen , [5] en las soluciones comerciales Wind River Linux para el desarrollo de dispositivos integrados, [6] [7] en productos de TV digital de Philips , [8] y en el sistema operativo Ostro de Intel para dispositivos IoT . [9]
Desde 2016, Smack es obligatorio en todas las implementaciones de Automotive Grade Linux (AGL), donde proporciona, en asociación con otras instalaciones de Linux, la base para el marco de seguridad de AGL. [10] [11]
Diseño
Smack consta de tres componentes:
- Un módulo del núcleo que se implementa como un módulo de seguridad de Linux . Funciona mejor con sistemas de archivos que admiten atributos extendidos .
- Un script de inicio que garantiza que los archivos del dispositivo tengan los atributos Smack correctos y carga la configuración de Smack.
- Un conjunto de parches para el paquete GNU Core Utilities para que tenga en cuenta los atributos de archivo extendidos de Smack. También se creó un conjunto de parches similares para Busybox . SMACK no requiere soporte de espacio de usuario. [12]
Crítica
Se ha criticado a Smack por haber sido escrito como un nuevo módulo LSM en lugar de una política de seguridad de SELinux que puede proporcionar una funcionalidad equivalente. Se han propuesto políticas de SELinux de este tipo, pero ninguna ha sido demostrada. El autor de Smack respondió que no sería práctico debido a la complicada sintaxis de configuración de SELinux y a la diferencia filosófica entre los diseños de Smack y SELinux. [13]
Referencias
- ^ "Documentación oficial de SMACK del árbol de fuentes de Linux". Archivado desde el original el 1 de mayo de 2013.
- ^ Jonathan Corbet. "Más material para 2.6.25". Archivado desde el original el 2 de noviembre de 2012.
- ^ Jake Edge. "El marco de seguridad de MeeGo". Archivado desde el original el 2 de noviembre de 2012.
- ^ The Linux Foundation. «Arquitectura de seguridad de MeeGo». Archivado desde el original el 28 de enero de 2013.
- ^ Onur Aciicmez, Andrew Blaich. "Comprensión del modelo de control de acceso para el sandbox de aplicaciones Tizen" (PDF) . Archivado desde el original el 28 de enero de 2013.
- ^ Wind River. "Nota sobre el producto Wind River Linux 4" (PDF) . Archivado desde el original (PDF) el 23 de mayo de 2012.
- ^ Wind River. "Nota sobre el producto Wind River Linux 3" (PDF) . Archivado desde el original (PDF) el 23 de septiembre de 2014.
- ^ Embedded Alley Solutions, Inc. "SMACK para televisión digital" (PDF) . Archivado desde el original (PDF) el 13 de septiembre de 2012.
- ^ Centro de tecnología de código abierto de Intel. «Descripción general de la arquitectura del sistema operativo Ostro™». Archivado desde el original el 28 de mayo de 2024.
- ^ Linux para uso automotriz. «AGL Security Framework». Archivado desde el original el 6 de junio de 2017.
- ^ Dominig ar Foll. "AGL como un sistema Linux industrial genérico, seguro y embebido". Archivado desde el original el 28 de mayo de 2024.
- ^ "README de las herramientas del espacio de usuario de Smack". Archivado desde el original el 20 de septiembre de 2016.
- ^ Casey Schaufler. "Re: PATCH: Smack: Kernel de control de acceso obligatorio simplificado". Archivado desde el original el 12 de octubre de 2016.
Lectura adicional
- Jake Edge (8 de agosto de 2007). "Smack para un control de acceso simplificado". Linux Weekly News .
- Jonathan Corbet (10 de febrero de 2007). "SMACK se encuentra con el único módulo de seguridad verdadero". Linux Weekly News .
- Casey Schaufler (enero de 2008). "El núcleo de control de acceso obligatorio simplificado" (PPT) . Linux.conf.au . Archivado desde el original el 11 de enero de 2014. Vídeo de la sesión (OGG) . Melbourne, Australia.
- Jake Edge (6 de agosto de 2008). "Simposio de Linux de Ottawa: Smack para dispositivos integrados". Linux Weekly News .
- Casey Schaufler (julio de 2008). "Smack in Embedded Computing" (PDF) . Actas del Simposio sobre Linux . Vol. 2. págs. 186-197. Archivado desde el original (PDF) el 29 de junio de 2013.
- Jake Edge (7 de octubre de 2009). "Conferencia de fontaneros de Linux: tres sesiones del área de seguridad". Linux Weekly News .
- Elena Reshetova, Casey Schaufler (noviembre de 2010). "Descripción general del marco de seguridad simplificado para dispositivos móviles" (PDF) . Conferencia MeeGo . Archivado desde el original (PDF) el 25 de julio de 2012.