Журнал "Открытые системы" #04/2001
По мнению аналитиков, некоторые коммерческие Un*x весьма серьезно уступают ряду клонов Linux. Данная статья посвящена проблеме построения защищенных операционных систем, свободных от недостатков в обеспечении безопасности, присущих традиционным UNIX-подобным системам. В качестве основы предлагается использовать открытые компоненты, а именно: проекты RSBAC и Security-Enhanced Linux, ориентированные на ядро Linux.
Сегодня многие индивидуалы и организации остановили свой выбор на ОС Linux, взяв ее на вооружение в качестве основной платформы. Причем, если раньше эта ОС использовалась преимущественно в качестве основы для построения недорогих маршрутизаторов, Web- и почтовых серверов, то сегодня имеется целый ряд более серьезных задач, которые удобно решать на ее базе: серверы баз данных и доступа, серверы приложений и полнофункциональные межсетевые экраны. Благодаря высокой устойчивости ОС Linux ей можно смело поручать длительные вычислительные задачи, например часть компьютерных спецэффектов в фильме Титаник считалась именно под управлением Linux. Система находит применение и в качестве встроенной ОС, например в Web-камерах Axis.
Как известно, Linux - это клон UNIX, семейства ОС, объединенных общей идеологией. Первые UNIX-системы создавались исключительно как средство совместного ведения проектов научными коллективами университетов и ее разработчики не придавали особого значения вопросам безопасности и защиты информации. Во всяком случае, эти вопросы точно стояли не на первом месте. Это привело к тому, что ни одну из классических UNIX-систем нельзя сегодня назвать по-настоящему безопасной. На протяжении всей истории существования ОС ее постоянно взламывают, портят, увечат, крадут и искажают. Создается иллюзия, что это самая незащищенная (и поэтому самая любимая хакерами) из всех операционных систем. Однако стоит вспомнить, что этой ОС уже более 30 лет, в то время как другие системы еще пребывают в младенческом возрасте, особенно операционные системы для ПК. Немаловажно и то, что UNIX с самого рождения обладает сетевыми функциями и является сегодня самой распространенной системой в Internet.
Относительно защищенный вариант UNIX-системы можно построить на базе ее штатных средств и для большинства применений это будет вполне адекватный уровень безопасности. Этот процесс достаточно подробно описан во многих документах: начиная от классического "UNIX Configuration Guidelines" от Computer Emergency Response Team [1] и заканчивая циклом публикаций Lance Spitzner, посвященных "усилению" различных ОС: Windows NT, Solaris, Linux [2]. В Cети можно найти также и русский перевод документа Linux Security HOWTO [3]. Однако, в самой идеологии построения UNIX имеется ряд фундаментальных изъянов, которые невозможно преодолеть только грамотным администрированием.
Фактически, в UNIX предполагается всего два варианта статуса пользователя: обычный и суперпользователь (root), что сразу порождает две проблемы. Первая проблема заключается в том, что root никому не подконтролен: он может изменить любую настройку, имеет доступ абсолютно ко всем объектам в файловой системе, может стереть или модифицировать любые данные и записи в журналах регистрации. Такая "концентрация власти", конечно же, неприемлема для защищенной системы. Вторая проблема связана с необходимостью изменения текущего уровня привилегий пользователя для выполнения некоторых действий (например, для смены пароля пользователю требуется временное разрешение на запись в файл /etc/shadow или аналогичный). Традиционно это достигалось путем установки бита SUID (или SGID) на файлы исполняемых модулей программ, в результате чего, порождаемый при запуске такого файла процесс, приобретает не права запустившего его пользователя, а права владельца файла. Нет необходимости говорить, к чему может привести даже небольшая ошибка в программе с установленным SUID и владельцем root. А писать полностью свободные от ошибок программы человек еще не научился - достаточно посмотреть на BugTraq [4].
Реализованная в UNIX модель разграничения доступа дискретна - права доступа субъектов (пользователей, процессов) к объектам (файлам, каталогам и т.п.) задаются явно, в матричной форме. На практике же часто возникает необходимость в реализации мандатной модели, при которой права доступа субъекта к объекту определяются уровнем субъекта и классом объекта, либо комбинированной модели, включающей в себя мандатную и доступ на основе списков управления доступом (access control lists). Причем, если в других ОС, использующих дискретную модель (например, Novell NetWare), необходимого разграничения достичь можно, пускай путем больших усилий, то в UNIX реализация некоторых требований по разграничению может оказаться попросту невозможной. Это связано с тем, что в UNIX права доступа задаются всего для трех категорий субъектов: владельца файла, ассоциированной с файлом группы (группы-владельца) и всех прочих. В частности, невозможно задать разные права доступа к файлу для менеджера проекта, начальника отдела, менеджера направления и сотрудника, непосредственно работающего с файлом, закрыв доступ всем остальным пользователям.
Ряд других проблем (например, передача паролей и других данных в открытом виде по сети при взаимодействии по различным протоколам) решаются широким кругом стандартных средств (ssh, ipsec и т.п.) и в большинстве своем не являются UNIX-специфичными.
В качестве примеров решения приведенных проблем с организацией защиты предлагается рассмотреть две системы: RSBAC (Rule Set Based Access Control) и Security-Enhanced Linux, позволяющие построить защищенную систему на базе ядра ОС Linux.
RSBAC - это надстройка над ядром Linux и комплект утилит управления, позволяющие создать на базе любого дистрибутива Linux защищенную систему. Одной из целей создания RSBAC, по заявлению авторов, является выполнение всех требований B1 по классификации Оранжевой Книги (хотя набор этих требований уже несколько устарел). К этой цели следует относиться с известной долей иронии не только вследствие архаизма Радужной Серии, но и из-за ставшей крылатой фразы, относящейся к сертификации Windows NT 3.51 по классу C2: "Любой Linux можно сертифицировать по классу B1. С вынутым шнуром питания." - настолько серьезны были дополнительные условия, при которых выполнялись требования сертификации NT 3.51. В частности, в соответствии с документом [5], должны были быть отключены подсистемы OS/2 и Posix, а самое главное - средства работы с сетью.
Поскольку в России имеется своя система сертификации, для нас более интересно рассмотреть предоставляемые системой RSBAC механизмы обеспечения безопасности. Реализация этих механизмов выполнена на уровне ядра системы и позволяет эффективно контролировать все процессы. Системные вызовы, затрагивающие безопасность, дополняются специальным кодом, выполняющим обращение к центральному компоненту RSBAC. Это компонент принимает решение о допустимости данного системного вызова на основе многих параметров:
Функционально RSBAC состоит из нескольких модулей, а центральный компонент принимает комплексное решение, основываясь на результатах, возвращаемых каждым из активных в данный момент модулей (какие модули задействовать и в каком объеме определяется на этапе настройки системы). Начиная с версии 1.1.0, в RSBAC включены следующие модули, реализующие различные функции и модели управления доступом:
Вся дополнительная информация, используемая RSBAC, хранится в дополнительном каталоге, который доступен только ядру системы. В зависимости от описанного уровня абстракции исполняемых задач и необходимой степени защиты выбираются различные сочетания модулей. Можно обойтись простыми ACL - для большинства применений этого хватит, можно защитить системную информацию и security-related информацию, используя ролевую модель.
RSBAC дает возможность избавить систему от общих недостатков UNIX. Появление категории "офицер безопасности" (security officer, security administrator) решает проблему не подконтрольности основного администратора системы, а категории "офицер по защите данных" (data protection officer) децентрализует администрирование, позволяя практически реализовать принцип "четырех глаз", в соответствии с которым все критичные операции не должны производиться в одиночку. Действительно, возможно построение системы, в которой нового пользователя по-прежнему заводит root, однако его уровень безопасности и права доступа к ресурсам задаются security officer и data protection officer.
Стоит, однако, помнить об одной простой вещи: любая защита накладывает ограничения, а степень защищенности всегда обратно пропорциональна удобству работы с системой (не говоря уже о "неприятной" привычке систем защиты потреблять часть ресурсов). Если говорить конкретно о модулях RSBAC, то строителя защищенной системы могут ожидать неприятности в самых неожиданных местах. В частности, для модуля MAC при попытке перехода в защищенный каталог может не работать команда 'cd'. Модуль интерпретирует данную операцию как попытку открытия объекта с более высокой меткой безопасности при открытом объекте с менее высокой меткой, а это запрещено идеологией модели - создается предпосылка перетока "секретной" информации в "несекретный" объект. Погоня за секретностью и безопасностью может привести к временной блокировке доступа к данным, а в отдельных случаях - и к их потере (особенно, если применяется шифрование разделов). Впрочем, эта проблема не уже является специфичной для RSBAC.
В заключение описания RSBAC несколько слов об интерфейсе. RSBAC можно интегрировать с любым дистрибутивом Linux, необходимо лишь внести соответствующие исправления в исходные тексты ядра системы. Эта процедура осуществляется при помощи стандартной утилиты patch и прилагаемого "файла-заплатки", который предлагается для разных версий ядра. После этого происходит его обычная настройка (make config, make menuconfig и т.п.), при этом в настройке появляется несколько новых пунктов. После загрузки ядра (а их рекомендуется собрать два: одно "боевое", а другое - отладочное, позволяющее производить настройки свойств RSBAC, но с отключенными "сторожевыми" функциями) настройка системы производится при помощи прилагаемых утилит администрирования. Разработчики системы поступили очень мудро - настройка возможна как при помощи иерархической системы меню, так и при помощи командной строки с параметрами. Особо следует отметить, что меню и страницы руководства (man pages) представлены как на английском, так и на русском языке. Система снабжена подробной документацией и подборкой теоретических материалов, где описаны все используемые модели защиты. С основного сервера проекта RSBAC [8] есть ссылка на дополнительные материалы, среди которых имеется прекрасная статья Станислава Иевлева [9] с пошаговыми инструкциями по ознакомлению с системой, позволяющая благополучно миновать многие "узкие" места.
Все известные формальные модели безопасности ориентированы на большие структуры (военные или финансовые), обеспечивая тот или иной аспект информационной безопасности (для военных - это секретность, для банков - целостность). Предложенная Simone Fischer-Hubner модель (подробное описание и вопросы реализации см. в [7]) разработана исходя из требований законов многих западных стран и директив Европейского сообщества по обеспечению приватности личных данных. Достижение этой цели обеспечивается двумя базовыми принципами, положенными в основу модели:
Автор дает следующее определение политики, реализуемой данной моделью: "Пользователю разрешается доступ к персональным данным только если они необходимы ему для решения текущей задачи, и только если он авторизован на выполнять эту задачу. Доступ пользователя к данным осуществляется контролируемым способом, путем выполнения (заверенной) процедуры преобразования из набора допустимых для текущей задачи. Более того, цели выполнения текущей задачи должны совпадать с целями, для которых данные собраны, либо должно быть получено разрешение субъекта этих данных".
Для формального описания модели вводятся следующие понятия:
Описание состоит из 5 инвариантов и 4 ограничительных правил.
Инварианты:
Для пояснения назначения последнего инварианта автор приводит наглядный пример. Предположим, данные медицинского обследования пациента помещаются в объект O1, имеющий в наборе целей сбора данных единственную запись - "осуществление лечения". Предположим также, что имеется объект O2, в наборе целей сбора данных которого числятся: "осуществление лечения", "статистические исследования", "административные цели. В отсутствии пятого инварианта, некий субъект S1 имеющий право чтения объекта O1 и право записи в объект O2, мог бы произвести перемещение данных. В результате другой субъект (S2), имеющий право читать объект O2 с административной или исследовательской целью, получил бы доступ к данным, хранившимся изначально в объекте O1 с целью, отличной от цели сбора данных объекта O1.
Ограничительные правила:
Для обеспечения безопасности персональных данных в процессе администрирования модель предусматривает разделенное администрирование, поддерживающее "принцип 4 глаз". Непосредственно изменения (включение задачи в перечень разрешенных для пользователя, изменение списка процедур преобразования и т.п.) осуществляет офицер безопасности (Security Officer), предъявляя системе "одноразовую санкцию" (one-time ticket), предварительно сформированную офицером по защите данных (Data Protection Officer).
Если выполнены все изложенные выше требования, и система начала свое функционирование из состояния, в котором была обеспечена защита персональных данных, то защита будет обеспечена и в процессе дальнейшего функционирования.
Вторая система - Security-Enhanced Linux имеет такое же назначение, как RSBAC и также представляет собой дополнения к ядру и набор утилит. Обе системы доступны под лицензией GPL, однако, разработка Security Enhanced Linux продвигается Агентством Национальной Безопасности США (NSA - National Security Agency). Security Enhanced Linux "моложе" RSBAC - ее релиз впервые был представлен в декабре 2000 года [10]. К сожалению, почти сразу же после первого выпуска системы была найдена серьезная брешь в ее безопасности - ошибка переполнение буфера, причем непосредственно в securitylib, что указывает на некоторую поспешность выпуска релиза [11]. Security-Enhanced Linux обеспечивает гибкую мандатную архитектуру управления доступом (flexible mandatory access control architecture, FLASK [12]), использующую развитый язык описания конфигураций политики безопасности. С использованием этого языка описаний разработана конфигурация системы, реализующая идеологию Type Enforcement (TE).
Что же такое Type Enforcement? Самый короткий ответ на этот вопрос приведен в работе [13]: "Это матрица доступа Лэмпсона, организованная для эффективности в классы эквивалентности". Действительно, обычная матрица доступа представляет собой двумерную таблицу, по одной оси которой располагаются субъекты доступа (активные именованные сущности - процессы, пользователи), по другой - объекты доступа (пассивные сущности - файлы, каталоги, устройства и другие ресурсы), а в ячейках на пересечении указываются операции, которые субъект может выполнять над объектом. В системе с большим количеством сущностей построить такую матрицу может оказаться попросту невозможным. Но в этом и нет необходимости: многие объекты схожи по своим свойствам, а функции многих субъектов совпадают, что позволяет объединить их в классы эквивалентности и строить матрицу для классов, проведя, фактически, типизацию сущностей.
В терминологии данной системы политика безопасности определяет набор доменов и типов (Type Enforcement domain and types). Каждый субъект (процесс) в каждый момент времени ассоциирован с определенный доменом, а каждый объект - с определенным типом. Как и в классической матрице, в политике определяются возможные виды доступа доменов к типам и допустимые способы взаимодействия между доменами. В частности, в зависимости от используемых типов, может происходить автоматическое переключение домена.
В политике безопасности также определен набор ролей. Для пользователей первичная установка роли происходит в процедуре регистрации (login), а переключение роли - при помощи команды newrole (в некотором роде аналог su). Системные процессы работают с ролью system_r, обычные пользователи - с ролью usr_r, а для системных администраторов зарезервирована роль sysadm_r.
Для каждой роли в политике безопасности задается набор доменов, в которых допускается работа с этой ролью. Всем пользовательским ролям назначается стартовый домен: user_t для роли user_r и sysadm_t для роли sysadm_r. По мере выполнения прикладных программ, запускаемых из стартовой оболочки (shell), может происходить автоматическое перемещение в другие домены для обеспечения изменения привилегий. Выбор домена, в который должно быть произведено перемещение осуществляется не только исходя из типа запускаемой программы, но и с учетом текущего домена. В частности, при запуске браузера Netscape обычным пользователем (текущий домен user_t), произойдет перемещение в домен user_netscape_t, а при запуске этой же программы администратором (текущий домен sysadm_t) перемещение произойдет в другой домен - sysadm_netscape_t. Такой подход не позволит программе выполнить потенциально опасные действия - соответствующий домен серьезно ограничит права администратора. В обычных дистрибутивах Linux в случае с Netscape проблема решалась проще - в настройке по умолчанию программа просто не запускалась с правами пользователя root.
Для администраторов в Security-Enhanced Linux заданы достаточно жесткие ограничения. В частности, нельзя зайти в систему удаленно - при необходимости такой процедуры необходимо сначала произвести вход обычным пользователем, а потом переключиться на административную роль (и перейти в административный домен) при помощи команды newrole, производящей дополнительную аутентификацию. Впрочем, и в большинстве современных UNIX-like систем администратору также запрещен удаленный вход и для этой цели используется команда su.
Пример с браузером Netscape не случаен - ему уделено особое внимание в перечне целей политики безопасности. Во избежание исполнения браузером вредоносного динамического кода (java-апплеты, JavaScript), для него определен специальный домен (точнее, два домена - для пользователей и администраторов), ограничивающий полномочия. Причем, определяются два подтипа: один ограничивает доступ браузера к локальным файлам только чтением, другой допускает запись в них.
Политика безопасности должна контролировать различные формы прямого доступа к данным, поэтому в ней определяются различные типы для устройств памяти ядра (kernel memory devices), дисковых устройств, специальных файлов в каталоге /proc, а также различные домены для процессов, которым необходим доступ к этим ресурсам. Обеспечение целостности ядра достигается определением различных типов для загрузочных файлов, объектных файлов подключаемых модулей, утилит для работы с модулями и файлов конфигурации модулей. Соответствующим процессам, которым требуется право записи в эти файлы, назначаются специальные домены.
Системное программное обеспечение, файлы конфигурации и журналы также нуждаются в защите. Для этой цели также определяются отдельные типы для системных библиотек, исполняемых файлов, файлов конфигурации и журналов, а работающим с ними программам и ролям назначаются специальные домены. В результате запись журналов может вести только система регистрации (syslog), а модификация системного ПО производится только администраторами. Есть решение и для уже упомянутой проблемы, присущей программам с повышенными привилегиями (с установленными битами suid или sgid). Для таких программ также назначаются отдельные домены, не позволяющие им превысить необходимые полномочия.
Политика безопасности уделяет особое внимание тщательному разделению процессов по привилегиям и защиту привилегированных процессов от выполнения ошибочного или опасного кода. Путем установки атрибута "executable" только на необходимые для исполнения привилегированным процессом программы, политика безопасности может достичь того, что при входе в привилегированный домен процессу будет позволено выполнение только стартовой программы для данного домена, динамического компоновщика и системных разделяемых библиотек. Администратор ограничен выполнением системных программ и программ, созданных им самим - выполнение программ, созданных другими пользователями запрещено. Более того, система минимизирует взаимодействие между обычными пользовательскими процессами и системными (привилегированными). Только системным процессам и администраторам разрешен доступ к записям в procfs, относящимся к другим доменам; ограничено использование вызова ptrace по отношению к другим процессам и доставка сигналов между разными доменами. При использовании файловой системы также приняты дополнительные меры предосторожности: домашние каталоги администраторов и обычных пользователей отнесены к разным типам; создаваемым в каталогах общего пользования (/tmp и др.) файлам также присваиваются разные типы, в зависимости от создавшего их домена.
По сравнению с RSBAC система Security-Enhanced Linux менее гибкая, зато имеет очень хорошую предопределенную политику безопасности. Ее сложно применить для "небольшого усиления" стандартного дистрибутива Linux - настройка достаточно сложна и невозможна без изучения специального языка конфигурации. Но это не недостатки, а скорее следствия целей создания системы. В статье [13] отмечается, что не стоит пытаться создать на базе идеологии Type Enforcement операционную систему общего назначения, которая автоматически обеспечит надежность, безопасность и другие свойства любым запускаемым в ней приложениям. Type Enforcement - это механизм, позволяющий произвести интеграцию приложений и менеджера ресурсов, сведя при этом к минимуму присущие им недостатки. Это средство построения специализированных защищенных систем (Web-сервер, почтовый сервер и т.п.), в которых все лишние функции убраны, а поведение оставленных жестко определено матрицей Type Enforcement.
Рассмотренные системы не единственны в своем классе - большинство защищенных решений делается на базе открытых систем. Среди них - проекты Medusa [14], тесно сотрудничающий с RSBAC, и LinuxIDS [15]. Из отечественных в первую очередь следует вспомнить "легендарную" МСВС, сделанную на базе Linux для Министерства обороны в 1997 году. К сожалению, информации о данной ОС мало, но известно, что она была сертифицирована ГТК, в компетенции которой сертификация по требованиям безопасности автоматизированных систем. Критерии классификации систем отличаются от американской "Оранжевой Книги" и изложены в Руководящем Документе "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" [16].
Если выйти за рамки Linux и обратиться к другим UNIX-подобным системам с открытым исходным кодом, то следует упомянуть разработанный МО ПНИЭИ [17] криптографический маршрутизатор "Шип", построенный на базе ОС FreeBSD. Несколько особняком стоит проект, разрабатываемый Специализированным Центром Защиты Информации Санкт-Петербургского Государственного технического Университета - операционная система "Феникс" [18]. Она не происходит явно от какой-либо разработки Фонда свободного программного обеспечения (Free Software Foundation - FSF), но унаследовала, по словам разработчиков, лучшие особенности микроядер других ОС.
Литература
[1] Computer Emergency Response Team (CERT) http://www.cert.org
[2] Lance Spitzner. Публикации. http://www.enteract.com/~lspitz/pubs.html
[3] Linux security HOWTO. http://sunsite.unc.edu/mdw/linux.html
[4] BugTraq. http://www.securityfocus.com
[5] NCSC-FER-95/003 http://www.radium.ncsc.mil./tpep/library/fers/NCSC-FER-95-003.pdf
[6] Модель Белла-Лападулы. http://osp.asu.pstu.ac.ru/dbms/1997/01/78.htm#part_5
[7] Simone Fischer-Hubner, Amon Ott. "From a Formal Privacy Model to its Implementation" http://www.rsbac.org/niss98.htm
[8] Проект RSBAC. http://www.rsbac.org
[9] Станислав Иевлев. "Начала RSBAC". http://linux.ru.net/~inger/RSBAC-DOC-ru.html
[10] Security-Enhanced Linux. http://www.nsa.gov/selinux/index.html
[11] NSA Security-enhanced Linux problem http://www.net-security.org/text/bugs/977971173,27822,.shtml
[12] Peter Loscocco, Stephen Smalley "Integrating Flexible Support for Security Policies into the Linux Operating System" http://www.nsa.gov/selinux/slinux-abs.html
[13] Earl Boebert. "Some thoughts on the occasion of the NSA Linux release". http://www2.linuxjournal.com/articles/buzz/0043.html
[14] Проект Medusa. http://medusa.fornax.sk
[15] Проект LinuxIDS. http://www.lids.org/
[16] Документы Гостехкомиссии. http://www.infotecs.ru/gtc/default.htm
[17] МО ПНИЭИ. http://www.security.ru
[18] ОС "Феникс". http://www.ssl.stu.neva.ru/ssl/fenix.shtml