Security and Protection
Security evaluation criteria
OS 的特权模式、Memory 隔离都是为了 security
TCSEC
- 四个等级
- D
- C - 主要的操作系统都是 C2 级别(C2>C1)
- B - Mandatory protection
- A
CC - Common
Common concept
Trusted computing base(TCB)
可信基
- 一组你相信的部件
- 使得 TCB 尽可能小
Attacking Surface
- 越小越好保护
- 操作系统的 Attacking Surface 是他本身
Defence in-depth
纵深防御
Protection - Access Control
Access Control(访问控制)
- 按照实体的身份限制访问的对象
三个步骤
- Authentication(认证)
- 知道什么/有什么/是什么
- Au
- Auditing(审计)
基于角色的访问控制(RBAC)
最小特权级原则:setuid 机制
- 一个用户只能修改其自身的密码
- 在重设密码时短暂提权
- SUID 位
另一种思路:Capability
- 把 root 的能力拆分,分成十几个小能力,称为 capability
- 理想状态 - 均分能力;现实 - CAP_SYS_ADMIN 占据 1/3
Refernce monitor(引用监视器)
- 负责 Authentication 和 Auditing
- 不能被绕过(必须考虑所有路径)
Evolution of Attacks and Defence
- injection
- stack 溢出
- reuse
- JOP attack
- 保护返回地址
- 保护函数指针
- data