页次: 1
- - Enable access key retention support
翻译:
说明:在内核中保留认证令牌(authentication token)和访问密钥(access key).eCryptfs(CONFIG_ECRYPT_FS)与Docker依赖于它.不确定的选"N"
[ ] Enable temporary caching of the last request_key() result
翻译:启用最后一个request_key()结果的临时缓存
说明:
[ ] Enable register of persistent per-UID keyrings
翻译:启用持久每uid密钥环的注册
说明:
< > TRUSTED KEYS
翻译:
说明:"TRUSTED KEY"的意思是由TPM(可信赖平台模块)用RSA算法封装的一对随机数.开启此项后,内核将可以为创建/封装/解封"TRUSTED KEY"提供支持.如果引导PCR(平台配置寄存器)和各种条件都匹配,那么TPM只解封密钥.用户空间永远只能看到加密过后的二进制内容.不确定的选"N"
[ ] TPM-based trusted keys
翻译:基于TPM的可信密钥
说明:"TRUSTED KEY"的意思是由TPM(可信赖平台模块)用RSA算法封装的一对随机数.开启此项后,内核将可以为创建/封装/解封"TRUSTED KEY"提供支持.如果引导PCR(平台配置寄存器)和各种条件都匹配,那么TPM只解封密钥.用户空间永远只能看到加密过后的二进制内容.不确定的选"N"
- - ENCRYPTED KEYS
翻译:
说明:"ENCRYPTED KEY"的意思是由内核封装的一对随机数,该对随机数可以用一个"主密钥"使用对称加密算法进行加密和解密.开启此项后,内核将可以为创建/加密/解
密"ENCRYPTED KEY"提供支持."主密钥"既可以是"TRUSTED
KEY"也可以是"user-key"(用户选择的密钥).用户空间永远只能看到/存储加密过后的二进制内容.不确定的选"N"
[ ] Allow encrypted keys with user decrypted data
翻译:允许使用用户解密的数据加密密钥
说明:
[ ] Diffie-Hellman operations on retained keys
翻译:保留密钥上的diffie-hellman操作
说明:
[ ] Provide key/keyring change notifications
翻译:提供密钥/密钥环更改通知
说明:
[ ] Restrict unprivileged access to the kernel syslog
翻译:
说明:禁止非特权用户访问内核日志(dmesg),相当于"echo 1 > /proc/sys/kernel/dmesg_restrict".不确定的选"N"
[ ] Enable different security models
翻译:
说明:允许内核选择不同的LSM(Linux安全模块),如果未选中则内核将使用默认的安全模块("Default security module").不确定的选"N"
- - Enable the securityfs filesystem
翻译:
说明:securityfs安全文件系统支持.当前仅被TPM bios字符设备驱动以及IMA(完整性提供者)使用.它与SELinux或SMACK之类没有关系.不确定的选"N"
[ ] Socket and Networking Security Hooks
翻译:
说明:允许安全模块通过Security Hook对Socket与Networking进行访问控制.不确定的选"N".
[ ] Infiniband Security Hooks
翻译:Infiniband安全挂钩
说明:
[ ] XFRM (IPSec) Networking Security Hooks
翻译:
说明:为XFRM(IPSec)启用安全Hook.这样安全模块可以通过这些hook,根据IPSec策略标签,实现针对每个网络包的访问控制.非IPSec通信
则被当做"无标签"处理,仅允许那些被明确批准可以不使用策略标签的socket才能不通过IPSec进行通信.不确定的选"N"
[ ] Security hooks for pathname based access control
翻译:
说明:此安全钩子程序可以让各种安全模块实现基于路径的访问控制.不确定的选"N"
[ ] Enable Intel(R) Trusted Execution Technology (Intel(R) TXT)
翻译:
说明:支持使用可信引导(Trusted Boot)技术引导内核(需要使用tboot模块).这将使用英特尔TXT(可信任执行技术)来引导内核.在不支持TXT的平台上开启此项没有效果.详见"Documentation/intel_txt.txt"文档.不确定的选"N"
(65536) Low address space for LSM to protect from user allocation
翻译:
说明:禁止用户空间分配的低位内存范围.禁止用户写入低位内存有助于降低内核NULL指针漏洞造成的破坏(参见CONFIG_DEFAULT_MMAP_MIN_ADDR选项).建议保持默认值"65536"
[ ] Harden memory copies between kernel and userspace
翻译:强化内核和用户空间之间的内存拷贝
说明:
[ ] Harden common str/mem functions against buffer overflows
翻译:针对缓冲区溢出强化公共str/mem函数
说明:
[ ] Force all usermode helper calls through a single binary
翻译:通过单个二进制文件强制所有用户模式助手调用
说明:
[ ] SELinux Support
翻译:
说明:安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。
SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。
如果可以熟练掌握 SELinux 并正确运用,我觉得整个系统基本上可以到达"坚不可摧"的地步了(请永远记住没有绝对的安全)。
掌握 SELinux 的基本概念以及简单的配置方法是每个 Linux 系统管理员的必修课
[ ] SELinux boot parameter
翻译:
说明:添加"selinux"内核引导参数.以允许在引导时使用'selinux=0'禁用SELinux或'selinux=1'启用SELinux
[ ] SELinux Development Support
翻译:
说明:SELinux 开发支持.开启此项后,除非明确使用"enforcing=1"引导参数让内核以"强制模式"运行,否则内核将以"许可模式"运行(记录所有事件,同时允
许所有操作).主要用于测试SELinux以及策略开发.此外,开启此项后,还可以在运行时通过"/selinux/enforce"让内核在"强制模
式"与"许可模式"之间切换
[ ] SELinux AVC Statistics
翻译:
说明:搜集访问向量缓存(access vector cache)的统计信息并在/selinux/avc/cache_stats中显示出来.这些信息可以用avcstat之类的工具查看
(9) SELinux sidtab hashtable size
翻译:SELinux选项卡哈希表大小
说明:待确定作用
(256) SELinux SID to context string translation cache size
翻译:SELinux SID到上下文字符串转换缓存大小
说明:待确定作用
[ ] SELinux kernel debugging support
翻译:
说明:开发调试时使用
[ ] Simplified Mandatory Access Control Kernel Support
翻译:
说明:Smack(简化的强制访问控制内核)内核安全模块.Smack是一种简单而有效的强制访问控制机制,它的简单体现在安全策略的配置很简单,它的有效体现在完全使用LSM作为其控制手段.不确定的选"N"
[ ] TOMOYO Linux Support
翻译:
说明:TOMOYO Linux是日本NTT数据公司开发的一种Linux安全模块.不确定的选"N".
[ ] AppArmor support
翻译:
说明:AppArmor(应用盔甲)是来自Novell的一种Linux安全模块.AppArmor使用文件路径来跟踪程序限制,是最容易配置的安全模块.不确定的选"N"
[ ] Pin load of kernel files (modules, fw, etc) to one filesystem
翻译:
说明:LoadPin是一个基于LSM架构,主要用于限制内核模块来源的安全模块。LoadPin是一个新的Linux安全模块,可确保内核加载的所有文件(内核模块,固件,kexec映像,安全策略)都来自同一文件系统,并期望这样的文件系统由只读设备支持。这旨在简化嵌入式系统(不需要复杂的签名机制),如果系统被配置为从只读设备引导,那么嵌入式系统不需要任何内核模块签名基础设施/检查。
[ ] Yama support
翻译:
说明:Yama(阎王)是3.4版内核新引入的一种Linux安全模块.不确定的选"N"
[ ] Gate setid transitions to limit CAP_SET{U/G}ID capabilities
翻译:
说明:Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作
[ ] Basic module for enforcing kernel lockdown
翻译:用于强制内核锁定的基本模块
说明:待确定作用
[ ] Enable lockdown LSM early in init
翻译:在初始化早期启用锁定LSM
说明:Linux Secrity Module简称LSM,是Linux下的一个安全框架标准,为不同的linux安全模块提供统一标准的接口。为我们熟知的selinux就是基于LSM框架。本文结合linux 5.10源码,分析最新的LSM 框架原理。
LSM基本原理
LSM 在被合入到 Linux 之前,当时的访问控制机制还不足以提供强大的安全性,存在的一些增强的访问控制机制,由于缺少安全社区的共识而没有被合入到 Linux 中。Linux 是通用操作系统,需要满足不同需求,访问控制机制同样需要满足不同的访问控制机制。在这样的背景下,LSM 因运而生,满足轻量级、通用性和可集成不同的访问控制机制等特点,被合入到 Linux 中。
Kernel default lockdown mode (None) --->
翻译:
说明:经过多年以来的无数次审查、讨论和代码重写,Linus Torvalds 通过了一项 Linux 内核新的安全功能,它被称为 “锁定”(lockdown)。
这项新功能将作为 LSM(Linux Security Module,Linux 安全模块)包含在即将发布的 Linux kernel 5.4 中。由于存在破坏现有系统的风险,因此该功能是可选的,并非默认开启。
这一新的锁定功能主要是为了防止 root 帐户篡改内核代码,从而在用户态进程和代码之间划清界限。启用该功能后,即便是 root 帐户也无法访问某些内核功能,从而保护操作系统免受受损的 root 帐户影响。
Linus Torvalds 表示,启用锁定模块后,各种内核功能都会受到限制。其中包括对内核功能的访问限制;对 /dev/mem 的读写操作的阻止;对 CPU MSR 访问的限制;以及防止系统进入睡眠状态等等。
锁定功能支持两种不同模式,可用于激活不同级别的限制。“完整性”(integrity)模式将禁止用户修改正在运行的内核功能。另一种 “机密性”(confidentiality)模式则会禁止用户从内核中提取机密信息。
[ ] Landlock support
翻译:
说明:Landlock是一个在Linux内核中实现的安全模型,它允许进程在较低的特权级别下运行,并限制其对内核和系统资源的访问。它提供了一种细粒度的权限控制机制,可以用于创建沙盒环境和隔离敏感操作。
Landlock的实现基于eBPF(Extended Berkeley Packet Filter)技术,在Linux 5.15内核中引入了对Landlock的支持。它使用eBPF程序作为安全策略的表达方式,通过BPF虚拟机执行这些程序来进行权限控制。
[ ] Integrity subsystem
翻译:完整性子系统
说明:待确定作用
[ ] Digital signature verification using multiple keyrings
翻译:
说明:允许使用多个密钥环(keyring)进行数字签名验证,也就允许为多个不同的使用场合(evm,ima,module)分别使用不同的keyring.看不懂的选"N"
[ ] Enable asymmetric keys support
翻译:
说明:允许使用非对称密钥进行数字签名验证
- - Require all keys on the integrity keyrings be signedsigned
翻译:要求对完整性密钥环上的所有密钥进行签名
说明:待确定作用
[ ] Provide keyring for platform/firmware trusted keysd keys
翻译:为平台/固件可信密钥提供密钥环
说明:待确定作用
[ ] Provide a keyring to which Machine Owner Keys may be added added
翻译:提供一个钥匙圈,可以向其中添加机器所有者密钥
说明:待确定作用
- - Enables integrity auditing support
翻译:
说明:添加"ima_audit"内核引导参数支持.当设为"ima_audit=1"时,将允许显示完整性审计信息
[ ] Integrity Measurement Architecture(IMA)
翻译:
说明:IMA(完整性度量架构)是一个在TCG(可信计算工作组)技术规范之上提出的完整性检查技术.IMA维护着一个系统关键文件的哈希值列表,从而可以检测这些关键文件是否被篡改.如果系统上有TPM安全芯片,那么IMA还会在TPM芯片内存储哈希值的集合.这样的TPM芯片可以提供给第三方,用于检查系统上的关键文件是否被篡改.不确定的选"N"
[ ] Enable carrying the IMA measurement list across a soft boot
翻译:允许通过软启动携带IMA测量列表
说明:
Default template (ima-ng (default)) --->) --->
翻译:
说明:待确定作用
Default integrity hash algorithm (SHA256) --->) --->
翻译:
说明:待确定作用
[ ] Enable multiple writes to the IMA policy
翻译:用对ima策略的多次写入
说明:待确定作用
[ ] Enable reading back the current IMA policy
翻译:启用回读当前ima策略
说明:待确定作用
[ ] Appraise integrity measurements
翻译:
说明:本地完整性鉴定支持.这样就可以在加载文件时检验它的完整性.这要求系统配置EVM支持.不确定的选"N"
[ ] Enable loading an IMA architecture specific policypolicy
翻译:启用加载ima体系结构特定的策略
说明:待确定作用
[ ] IMA build time configured policy rules rules
翻译:IMA构建时配置的策略规则
说明:待确定作用
[ ] ima_appraise boot parameterameter
翻译:ima_appraise启动参数参数
说明:待确定作用
[ ] Support module-style signatures for appraisalraisal
翻译:支持评估评估的模块式签名
说明:待确定作用
[ ] Permit keys validly signed by a built-in or secondary CA cert (EXPERIMENTAL)
翻译:允许由内置或辅助CA证书有效签名的密钥
说明:待确定作用
[ ] Create IMA machine owner blacklist keyrings (EXPERIMENTAL)
翻译:创建IMA机器所有者黑名单密钥环
说明:待确定作用
[ ] Load X509 certificate onto the '.ima' trusted keyring
翻译:将X509证书加载到“.ima”受信任密钥环上
说明:待确定作用
[ ] Disable htable to allow measurement of duplicate records
翻译:禁用htable以允许测量重复记录
说明:待确定作用
[ ] EVM support
翻译:
说明:EVM通过保护文件的安全扩展属性来对抗完整性攻击.
[ ] FSUUID (version 2)
翻译:
说明:待确定作用
[ ] Add additional EVM extended attributes at runtime
翻译:
说明:在运行时添加额外的EVM扩展属性
[ ] Load an X509 certificate onto the '.evm' trusted keyring
翻译:
说明:将X509证书加载到“.evm”受信任密钥环
First legacy 'major LSM' to be initialized (SELinux) --->
翻译:第一个要初始化的遗留“主要LSM”
说明:
(yama,loadpin,safesetid,integrity,selinux,smack,tomoyo,apparmor) Ordered list of enabled LSMs
翻译:已启用LSM的有序列表
说明:
Kernel hardening options --->
翻译:内核硬件选项
说明:
离线
页次: 1