隔离
系统分离过程两方面。 在第一,这一过程是一个环境似乎是一个计算机运行,只是过程中,还是这些程序应该被孤立。 在第二,是一个环境,是提供在行动过程中,分析,以确定他们是否泄漏资料。 第一类环境可防止过程中,从获取基本的电脑系统及任何程序或资源,不属于这个环境。 第二类环境不学习电脑。 它只是改变了接口之间现有的计算机和过程(安老服务) 。
虚拟机器
第一类环境,是被称为虚拟机。
一个虚拟机是一个程序,模拟硬件一个(可能摘要)的计算机系统。
一个虚拟机使用一种特别的作业系统称为虚拟机监控,以提供一个虚拟机上的常规操作系统上,可以运行
主要利用一个虚拟机是现有的操作系统并不需要修改。 他们运行在一个虚拟机监视器。 虚拟机监控执行理想的安全政策。 这是透明的用户名。 虚拟机监控功能作为一个安全内核。
在政策上,虚拟机监控涉及的科目(科目作为虚拟机器) 。 即使其中一个虚拟机运行数以百计的过程中,虚拟机监控知悉只关心虚拟机。 因此,可以适用于安全检查,其科目,这些管制措施适用于工序,这些科目正在运行的程序。 这符合法治的传递隔离。
例如: kvm/370是一个安全增强版的ibm vm/370虚拟机监视器。 这个系统提供的虚拟机器,为它的使用者,而其目标之一是为了防止沟通的虚拟机器的不同安全班,使用户在不同的保安班,可使用该系统在同一时间举行。 像vm/370 ,它提供了虚拟仪器与迷你,并允许系统与各位分享一些地区的磁盘。 不像vm/370 ,以前它是一个安全政策,以调解方式访问共享领域的磁盘,以限制之间的通讯系统。 |
例如: karger和他的同事在数字设备公司开发的一个虚拟机监视器(毫升) ,为12月的vax 。 监视器是一个安全内核,并可以运行要么船民或一个digital unix操作系统。 该内分泌运行于本土的vax硬件和引用时,虚拟机执行特权指令。 其结构是典型的虚拟仪器设计,以提供安全保护。
vax的有4个级别的特权:用户,督导员,行政,和内核模式。 为了提供一个兼容的虚拟机,虚拟机也必须有四个层次的特权。 然而,内核模式允许一个进程,以获取特权指示vax的硬件直接。 只有毫升,是不允许这样做。 虚拟机器不能访问内核模式。 解决的办法是提供虚拟模式。 这些模式都是船民用户(相当于用户模式) , vm的管理模式,和vm长官和vm内核模式(实际上执行模式) 。
该突科目是用户和虚拟机器。 内侧有一个基本的,平坦的文件系统供自己使用,并分区剩余的磁盘空间之间的虚拟机器。 这些机器可使用任何文件结构,他们的愿望,但每个虚拟机都有其自己的一套文件系统。 每个主体与客体具有多层次的安全和完整的标签,以及安全性和完整性水平,形成准入阶层。 这两个实体有相同的准入阶级当且仅当他们的安全和完整的标签都是一样的,和一个实体主导另一个当且仅当双方的安全性和完整性班为主。
一个不可分割的组成部分毫克,是审计机制。 这一机制的记录行动,为后来的分析。 |
因为虚拟机器提供相同的接口通信与其它虚拟机,电脑提供,这些沟通渠道,是可以控制或切断。 正如前述,如果单一主机运行多个虚拟机,这些虚拟机器共享物理资源的东道国对他们来说。 (也可共享逻辑资源,这取决于如何虚拟化的内核就是实施) 。这提供了一个肥沃的土壤为暗的渠道。
沙
一个游乐场啤酒馆提供了一个安全的环境,让儿童停留。如果孩子离开沙盒,没有监督,他们可以做的事情,它们都不会做。 电脑啤酒馆是相同的。 它提供了一个安全的环境,让程式执行。如果节目"离开"沙盒中,他们可以做一些事,它们都不会做。 两种类型的沙限制行动,其占用。
一沙盒 ,是一种环境,使该行动的一个过程,是有限制根据一项安全政策。
系统可强制执行的限制,可从两方面入手。 首先,沙盒可以限制执行环境所需位置。 这是一般的做法是加入额外的安全检查机制,以图书馆或内核。 节目本身是不会有任何变化。 举例来说,腹内核前面所讨论的是一个沙盒,因为它限制了信道的(未)操作系统上运行。 java虚拟机是一个沙盒,因为它的安全经理限额准入的下载程式,以系统资源为出于安全政策。
例如:业务内核的响尾蛇防火墙用途型执法局限于进程。 这是一个例子,一个啤酒馆建成内核,它的性能是该啤酒馆是指由卖方。 它不打算改变在该工地上施工。 这种设计是典型的一个交钥匙系统,它是打算利用一个响尾蛇防火墙。
java虚拟机,其中下载应用程式的执行,又是一个例子,一个沙盒。 沙盒限制了一套档案插件,可以获取和主持人,以其中的applet可以连接。 其他安全机制,增强沙盒。
dte ,类型的执法机制,为dtel ,就是一个例子,其中的内核的修改,使系统管理员来配置自己所写。 内核执行的限制。 |
第二次执行的方法是修改程序(或流程) ,以被处决。 动态调试器和一些剖析使用这种技术加入断点,以收购及合并守则,当陷阱出现时,分析了国家的运行过程。 的一个变种,称为软件故障隔离,增加了指令执行存储器存取检查或其他检查,由于程序运行,因此任何企图违反安全政策造成的误差。
例如:骏利实现了一个沙盒。 这是一个执行环境中,系统调用是被困,并检查了。 用户执行它要限制的对象和方式获取一个来路不明的程式。 骏利构成的一个框架,它运行检查,并模块,确定哪些信道是不允许的。
骏利先读入一个配置文件。 此文件指示加载某些模块。 随着该单元的识别是一个名单的限制。 下面的例子配置文件中定义了环境变量如果为儿童,并限制孩子的查阅档案制度。 孩子不能访问任何文件,除了那些被点名下文。 孩子可以读或写任何文件在/ usr文件系统,除了那些在/ usr / lib中和/ usr / local / lib目录目录(这是唯读) ,并在/ usr /斌(读和执行) 。 孩子可以读取任何文件中所/库目录,并可以阅读和处决任何文件在/ sbin和/斌目录。 在配置文件下面,第一个词,在每个教学路线,是名称的模块和其他文字是论点传递给模块( " # "开始评) 。
#基本模块基本 #定义子过程的环境变量putenv如果= " \吨\ n "路= / sbin : /斌: / usr /斌tz细胞= pst8pdt #否认获得一切除档案/ usr路径否认读,写*路径,让读,写/ usr / * #允许子阅读档案图书馆目录#需要动态加载路径,让读/库/ * / usr / lib中/ * / usr / local / lib目录/ * #需要,使孩子可以执行程式的路径,让阅读,执行/ sbin / * /斌/ * / usr /斌/ * 每个单元都制约了系统的来电。 该框架采用模块,以建立一个联系名单,为每个监测系统调用。 名单确定了允许和禁止的行动。 一旦这个名单已兴建,双面框架援引该计划以这样一种方式,所有监测系统调用被困。
当程序执行一个监视系统调用,程序陷阱和骏框架引用。 它已获得论点提供给sysem呼吁。 它验证了该系统调用,这些具体参数,是不允许的。 如果系统调用是不容许,该框架提出了儿童的环境,使该系统调用似乎已经失败了。 如果该系统调用的就是允许的范围内回报控制对于儿童来说,这反过来又控制转移到内核。 就返回,控制前往框架,其中更新任何内部状态,并返回结果给孩子。
一个例子使用,将在读默剧邮件。 一个本来可以设定邮件读程序,以将控制权传递到一个后记显示引擎。 一些诸如引擎有一个机制,为执行系统级指令嵌入在后记档案。 因此,攻击者可以把文件删除指挥,在后记中的文件。 收件人将运行显示引擎阅读文件,她的一些文件将被删除。 然而,用户(或系统管理员)可以成立双面配置文件不让执行任何子程序。 那么嵌入式命令会被发现(关于系统调用执行它) ,并拒绝了。 |
像一个虚拟机监控,啤酒馆形式的一部分可信赖计算基础。 如果啤酒馆失败,它提供的保护较少,比它被认为是提供。 因此,确保该啤酒馆正确地实现了一个理想的安全政策是至关重要的系统安全性。