各种折腾,经过了一个蛋疼的周末,终于在Ubuntu14.04上运行了一个基于LSM的简单demo程序。

一:程序编写

  先简单的看一下这个demo:

//demo_lsm.c
#include <linux/lsm_hooks.h>

#include <linux/sysctl.h>

static unsigned long long count = ;

int demo_task_create(unsigned long clone_flags)

{

    printk("[+geek] call task_create(). count=%llu\n", ++count);

    return ;

}

static struct security_hook_list demo_hooks[] = {

    LSM_HOOK_INIT(task_create,demo_task_create),

};

void __init demo_add_hooks(void)

{

    pr_info("Demo: becoming mindful.\n");        //打印相关信息,可以通过dmesg |  grep Yama:查看

    security_add_hooks(demo_hooks, ARRAY_SIZE(demo_hooks));   //添加安全模块函数

}

static __init int demo_init(void){

    demo_add_hooks();

    return ;

}

security_initcall(demo_init);

  根据(一)的yama可以得出,编写一个基于LSM的安全模块的基本流程:

    1>确定需要hook的函数

    2>对hook函数进行填充,添加自己的逻辑(安全检查)

    3>添加到在security_hook_list的数据结构里

    4>对这个有注册逻辑的函数进行注册

  1:确定需要hook的函数:

    1>用户创建进程需要调用系统调用 sys_fork()/sys_vfork()/sys_clone()

    2>sys_fork()等函数中调用 do_fork()

    3>do_fork()调用copy_process()

    4>copy_process()调用security_task_create()这里便是hook点了,可以进行自己的逻辑

    5>security_task_create()的主体就是security_hook_list的task_create()

  2:对hook函数进行必要的填充,添加自己的逻辑(额外的安全检查)

    在这里,只是为了简单的检测自己的代码是否能够正常运行,所以,只用了简单的printk,详情请看demo_task_create函数。

  3:添加到在security_hook_list的数据结构里

    额外说一点:关于这一步,在4.0之前后某个版本,打了个补丁,所以实现方式会有不同,先看一下4.0以前:

struct security_operations {

         char name[SECURITY_NAME_MAX + ];

         int (*ptrace_access_check) (struct task_struct *child, unsigned int mode);

         int (*ptrace_traceme) (struct task_struct *parent);

         int (*capget) (struct task_struct *target, kernel_cap_t *effective, kernel_cap_t *inheritable, kernel_cap_t *permitted);

         int (*capset) (struct cred *new, const struct cred *old, const kernel_cap_t *effective, const kernel_cap_t *inheritable, const kernel_cap_t *permitted);

         int (*capable) (const struct cred *cred, struct user_namespace *ns, int cap, int audit);

         int (*quotactl) (int cmds, int type, int id, struct super_block *sb);
      ....

    这种实现方式有个缺点,无论hook几个函数,都会替每个指针占一个位置,由于内核空间,内存十分宝贵,这种占空间西行为产生了很大的浪费。所以实现换了一种方式,如下:

struct security_hook_list {

         struct list_head                list;

         struct list_head                *head;

         union security_list_options     hook;

 };

    然后,security_list_options以一种联结体的方式存在,然后通过侵入式链表连接,可以有效的节省空间。

     言归正传。数据结构可以通过LSM_HOOK_INIT宏来进行填充,详情可以看(一):

  4:对这个有注册逻辑的函数进行注册

    在这一点上,简单的security_initcall(demo_init);就可以了

二:Makefile和Kconfig编写

    在编写这两个文件时,由于在2.6.X后,lsm的模块不允许通过insmod动态加载到内核中,需要在编译内核时添加,所以,需要谨慎,否则容易出错(-_-)。

  如下:

//Kconfig
config     SECURITY_DEMO

   bool     "demo support"

   depends on SECURITY

   default     n

   help

        introduction of demo modules

  

//Makefile
obj-$(CONFIG_SECURITY_GEEK) := demo.o

demo-y := demo_lsm.o

     将这两个文件以及前文的 demo_lsm.c 放到./linux-X.X.X(X.X.X>4.0.0)/security/demo(自己创建)中,然后修改security下的Kconfig和Makefile,这里可以参照SElinux或者yama的格式进行编写,      但需要注意的是,在Linux>4.2之后,Yama默认只能依附在其它模块上,所以,最好对照SELinux。

#

# Makefile for the kernel security code

#

obj-$(CONFIG_KEYS)            += keys/

subdir-$(CONFIG_SECURITY_SELINUX)    += selinux

subdir-$(CONFIG_SECURITY_DEMO)        += demo

subdir-$(CONFIG_SECURITY_SMACK)        += smack

subdir-$(CONFIG_SECURITY_TOMOYO)        += tomoyo

subdir-$(CONFIG_SECURITY_APPARMOR)    += apparmor

subdir-$(CONFIG_SECURITY_YAMA)        += yama

# always enable default capabilities

obj-y                    += commoncap.o

obj-$(CONFIG_MMU)            += min_addr.o

# Object file lists

obj-$(CONFIG_SECURITY)            += security.o

obj-$(CONFIG_SECURITYFS)        += inode.o

obj-$(CONFIG_SECURITY_SELINUX)        += selinux/

obj-$(CONFIG_SECURITY_DEMO)        += demo/

obj-$(CONFIG_SECURITY_SMACK)        += smack/

obj-$(CONFIG_AUDIT)            += lsm_audit.o

obj-$(CONFIG_SECURITY_TOMOYO)        += tomoyo/

obj-$(CONFIG_SECURITY_APPARMOR)        += apparmor/

obj-$(CONFIG_SECURITY_YAMA)        += yama/

obj-$(CONFIG_CGROUP_DEVICE)        += device_cgroup.o

# Object integrity file lists

subdir-$(CONFIG_INTEGRITY)        += integrity

obj-$(CONFIG_INTEGRITY)            += integrity/
#

# Security configuration

#

menu "Security options"

source security/keys/Kconfig

.....

source security/selinux/Kconfig

source security/demo/Kconfig

source security/smack/Kconfig

source security/tomoyo/Kconfig

source security/apparmor/Kconfig

source security/yama/Kconfig

source security/integrity/Kconfig

choice

    prompt "Default security module"

    default DEFAULT_SECURITY_SELINUX if SECURITY_SELINUX

    default DEFAULT_SECURITY_DEMO if SECURITY_DEMO

    default DEFAULT_SECURITY_SMACK if SECURITY_SMACK

    default DEFAULT_SECURITY_TOMOYO if SECURITY_TOMOYO

    default DEFAULT_SECURITY_APPARMOR if SECURITY_APPARMOR

    default DEFAULT_SECURITY_DAC

    help

      Select the security module that will be used by default if the

      kernel parameter security= is not specified.

    config DEFAULT_SECURITY_SELINUX

        bool "SELinux" if SECURITY_SELINUX=y

    config DEFAULT_SECURITY_DEMO

        bool "demo" if SECURITY_DEMO=y

    config DEFAULT_SECURITY_SMACK

        bool "Simplified Mandatory Access Control" if SECURITY_SMACK=y

    config DEFAULT_SECURITY_TOMOYO

        bool "TOMOYO" if SECURITY_TOMOYO=y

    config DEFAULT_SECURITY_APPARMOR

        bool "AppArmor" if SECURITY_APPARMOR=y

    config DEFAULT_SECURITY_DAC

        bool "Unix Discretionary Access Controls"

endchoice

config DEFAULT_SECURITY

    string

    default "selinux" if DEFAULT_SECURITY_SELINUX

    default "demo" if DEFAULT_SECURITY_DEMO

    default "smack" if DEFAULT_SECURITY_SMACK

    default "tomoyo" if DEFAULT_SECURITY_TOMOYO

    default "apparmor" if DEFAULT_SECURITY_APPARMOR

    default "" if DEFAULT_SECURITY_DAC

endmenu

三:编译安装运行内核

    1>将linux内核源码和二里面添加和更改的部分移到 /usr/src中。

    2> cp /boot/config-‘uname -r’ /usr/src/kernels/linux3.2.14/.config,将原系统内核配置拷贝到需要编译的源码上

    3> make menuconfig,这里可能会失败,这时候,你需要去apt-get install libncurses5-dev:截图如下:

      

      

      在配置上,需要自己根据自己的水平来进行配置,否则极易弄巧成拙(-_-)

    4>make bzImage -jN(N为具体数字,代表线程数),可以根据虚拟机内核数 X2来确定N的具体值,以节约时间

    5>make modules -jN,同上

    6>make modules_install

    7>make install

    8>部分可能需要修改grub的default为0,经测ubuntu14.04自动修改了,不需要自己去改

    9>reboot ,并且demesg,可以得到如下:

      

      demo就运行成功了

学习LSM(Linux security module)之二:编写并运行一个简单的demo的更多相关文章

  1. 学习LSM(Linux security module)之四:一个基于LSM的简单沙箱的设计与实现

    嗯!如题,一个简单的基于LSM的沙箱设计.环境是Linux v4.4.28.一个比较新的版本,所以在实现过程中很难找到资料,而且还有各种坑逼,所以大部分的时间都是在看源码,虽然写的很烂,但是感觉收获还 ...

  2. 学习LSM(Linux security module)之一:解读yama

    最近打算写一个基于LSM的安全模块,发现国内现有的资料极少.因此打算自己琢磨一下.大致的学习路线如下: 由易至难使用并阅读两到三个安全模块->参照阅读模块自己实现一个安全模块->在自己实现 ...

  3. 学习LSM(Linux security module)之三:Apparmor的前世今生和基本使用

    感冒了,感觉一脑子浆糊,真是蛋疼. 先粗略讲一些前置知识. 一:MAC和DAC DAC(Discretionary Access Control),自主访问控制,是最常用的一类访问控制机制,意思为主体 ...

  4. Linux环境下部署完JDK后运行一个简单的Java程序

    前言 前一篇文章详细讲解了如何在Windows环境下安装虚拟机+Linux系统,并且成功部署了JDK. 不过部署完JDK之后,我们判断部署是否成功的依据是看"java -version&qu ...

  5. Linux LSM(Linux Security Modules) Hook Technology

    目录 . 引言 . Linux Security Module Framework Introduction . LSM Sourcecode Analysis . LSMs Hook Engine: ...

  6. linux security module机制

    linux security module机制 概要 Hook机制,linux MAC的通用框架,可以使用SElinux, AppArmor,等作为不同安全框架的实现

  7. tensorflow笔记(二)之构造一个简单的神经网络

    tensorflow笔记(二)之构造一个简单的神经网络 版权声明:本文为博主原创文章,转载请指明转载地址 http://www.cnblogs.com/fydeblog/p/7425200.html ...

  8. linux设备驱动第三篇:写一个简单的字符设备驱动

          在linux设备驱动第一篇:设备驱动程序简介中简单介绍了字符驱动,本篇简单介绍如何写一个简单的字符设备驱动.本篇借鉴LDD中的源码,实现一个与硬件设备无关的字符设备驱动,仅仅操作从内核中分 ...

  9. 《Linux内核分析》第三周 构建一个简单的Linux系统MenuOS

    [刘蔚然 原创作品转载请注明出处 <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000] WEEK THREE ...

随机推荐

  1. 微信小程序使用原生WebSokcet实现断线重连及数据拼接

    以前做小程序为了应急找了个插件去链接WebSokcet,文章传送门. 回过头在新项目中再次使用时出现了些许问题,不一一赘述.遂决定好好用一下原生的WebSokcet. 一.说明 1.小程序原生的Web ...

  2. codeforces 1015A

    A. Points in Segments time limit per test 1 second memory limit per test 256 megabytes input standar ...

  3. MFC 对话框透明效果

    网上找的资料自己改了改,在这里记录和分享一下,主要是TransparentWnd函数. 在子类的OnShowWindow函数中调用 ShowWindowAlpha() #pragma once tem ...

  4. c#中数据库字符串的连接几种方式

    ADO.net 中数据库连接方式(微软提供) 微软提供了以下四种数据库连接方式:System.Data.OleDb.OleDbConnectionSystem.Data.SqlClient.SqlCo ...

  5. 数据结构之(HDU2051 Bitset)

    Problem Description Give you a number on base ten,you should output it on base two.(0 < n < 10 ...

  6. Vue项目中引入外部文件(css、js、less)

    例子中css文件采用bootstrap.css,js文件采用jQuery,less文件用less.less(自定义文件) 步骤一:安装webpack cnpm install webpack -g 步 ...

  7. hdu1527取石子游戏---(威佐夫博弈)

    感谢 http://www.cnblogs.com/yuyixingkong/p/3362476.html 取石子游戏 Time Limit: 2000/1000 MS (Java/Others)   ...

  8. 全排列---(dfs)

    全排列输入一个数n,按字典序输出1-n的全排列 #include "cstdio" #include "cstring" ],ans[],n; void dfs ...

  9. 结构化数据(structured),半结构化数据(semi-structured),非结构化数据(unstructured)

    概念 结构化数据:即行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据. 半结构化数据:介于完全结构化数据(如关系型数据库.面向对象数据库中的数据)和完全无结构的数据(如声音.图像文件等)之 ...

  10. 正则表达式 re模块 collections模块

    根据手机号码一共11位并且是只以13.14.15.18开头的数字这些特点,我们用python写了如下代码: while True: phone_number = input('please input ...