[发明专利]SELinux安全标识符防篡改检测方法及系统

说明书

本发明公开了一种SELinux安全标识符防篡改检测方法及系统，方法的实施步骤包括建立进程及其安全标识符的映射关系表，当创建进程时将进程及其安全标识符作为新节点插入到映射关系表，当撤销进程时删除节点、通过合法调用接口发生改变时则更新节点；当进程执行新程序时对父进程安全标识符进行合法性检测，若与其在映射关系表中的安全标识符不一致，则根据映射关系表恢复父进程的安全标识符，并将其设为子进程的缺省安全标识符开始执行。本发明能够检测到攻击者利用内核提权攻击手段对进程安全标识符的非法篡改，并将进程安全标识符恢复为非法篡改前的安全标识符，能够防止攻击者通过内核提权攻击手段突破SELinux对系统的安全防护。

技术领域

本发明涉及Linux系统安全领域，具体涉及一种SELinux安全标识符防篡改检测方法及 系统。

背景技术

Linux操作系统的系统管理员拥有对系统范围内的所有资源进行访问与管理的特权，成为 恶意攻击者攻击的主要目标之一。一般情况下，恶意攻击者通过远程攻击等获取系统一般权 限后，还往往要利用系统的提权漏洞进行提权攻击，获取系统root权限对系统进行全盘控制。 为了保护系统管理员特权，操作系统的强制访问控制机制打破了root用户的特权，在操作系 统内部根据不同的访问控制安全策略对系统中各类对象之间的访问控制行为进行控制管理。 在这样的系统中，即使进程的属主为root，其所有行为也必须同时满足强制访问控制机制的 要求才能够在系统中被允许发生。目前Linux系统主要通过SELinux安全域隔离策略实现这 一控制。然而，随着运行在系统高级别的内核态提权漏洞攻击方法的出现，攻击者不仅可以 篡改进程的用户ID，还可以篡改进程的SELinux安全标识符。由于在进程的内核栈中，保存 进程权限信息的thread_info结构总是存放在内核栈的底部，因此攻击者可以根据内核栈中某 一变量的地址获取内核栈基址，从而获取进程task_struct在内存中的位置，并进一步获取进 程cred在内存中的位置，直接修改对应内存位置存储的数据，将对应的用户ID和组ID修改 0，即root用户/组ID，并且根据需要将SELinux安全标识符修改为目标安全标识符，从而绕 过系统中强制访问控制安全机制的检查。一旦攻击发生，如何能够尽早发现并制止进程利用 篡改后的权限进行非法访问成为重要的问题。

在Linux系统中，每个进程都有与其对应的唯一的进程标识符pid，在系统创建进程时会 生成一个尚未分配的pid并用其标识该进程。而每个进程的安全标识符的则经过创建、转换 和终止的生命周期。

Linux系统主要在两种情况下创建进程：(1)一个父进程希望复制自己从而使父进程和子 进程执行同一个程序中不同的代码段。该情况在网络服务进程中比较常见，父进程等待并接 受客户端的请求，当请求到达时，创建子进程并使其处理该请求，而父进程继续等待新的服 务请求。(2)一个进程要执行一个不同的程序。在该情况下，父进程创建一个子进程，然后 使子进程去执行该程序。在这两种情况下，当父进程创建子进程时，子进程通常继承父进程 的安全标识符。对于第二种情况，当子进程去执行另一个程序时，根据SELinux安全规则， 子进程的安全标识符可能会改变。

Linux系统创建进程的函数有fork()，vfork()和clone(),在Linux内核中与之对应的系统调 用分别为sys_fork()，sys_vfork()和sys_clone()。但是这三个系统调用在实际执行时都是通过 do_fork函数来创建进程。而三个系统调用由于参数的不同而导致了子进程和父进程之间对资 源的共享程度不同。进程撤销或终止的一般方式调用exit()库函数。当进程退出时一般是显示 地或隐式地调用了exit()，但最终都调用了do_exit函数。