1、訪問控制模型的概念(Reference Monitor)
2、DAC(Discretionary Access Control)的致命傷
3、MAC(Mandatory Access Control)的起源
4、SELinux的TE(Type Enforcement)模型
二、SELinux的概念
1、SELinux的“物質基礎”-安全上下文(SecurityContext)
2、LSM(Linux Security Module)
3、Type Enforcement的概念
4、Domain Transition的概念
5、Role的作用
6、Domain Transition和role規(guī)則舉例
7、MLS對SC的擴展
三、SELinux的語法
1、Object Class and Permissions
2、Type,alias and Attribute
3、Access Vector Rules
4、Type Transition Rule
5、神奇的type_change規(guī)則
6、RBAC
7、Constraints and MLS constraints
8、Boolean,Tunable and OptionalPolicy
9、Range Transition
10、Role Transition
11、使用setools工具包分析policy.X
12、在Host上使用Checkpolicy訪問用戶態(tài)Security Server
四、Reference Policy
1、Reference Policy代碼樹的主要結構
2、Policy Package的源代碼文件
五、SELinux的用戶態(tài)設施
1、/etc/selinux/config
2、/etc/selinux/$SELINUXTYPE/
3、Policy Store
4、selinuxfs目錄樹
5、/proc/pid/attr/目錄樹
六、SELinux的安裝
1、Ubuntu上SELinux的安裝
2、SELinux的啟動過程(Revisited)
七、為應用程序開發(fā)新的PP
1、Object的標簽由誰決定
2、何時需要為應用程序開發(fā)pp?
3、設計pp的一般過程
4、為vlock程序編寫vlock.pp
5、為samhain程序編寫samhain.pp
6、使用SLIDE來開發(fā)pp,分析SELinux源代碼
7、編寫pp時的注意事項
八、SELinux問題分析
1、排除DAC權限的問題
2、檢查用戶當前所扮演的角色
3、分析AVC Denied Message:Target的標簽正確嗎?
4、在系統(tǒng)啟動過程中適時地修復錯誤的文件標簽
5、應用程序的實際行為要和其pp的假設相一致
6、明確相應domain所缺少的權限
7、SELinux問題分析過程和方法舉例
九、SELinux開發(fā)
1、使能對/dev/console的支持
2、Socket Labeling開發(fā)
3、給role_transition規(guī)則添加class的支持
4、增加role attribute的支持(new)
5、區(qū)分tunable和boolean(new)
6、在策略中指定newcontext的缺省設置方法(todo)
十、SELinux內核驅動分析
1、LSM核心數據結構及相應回調函數
2、SELinux核心數據結構
3、情景分析:打開文件時的相關函數調用鏈
4、通過SELinuxfs訪問內核Security Server
5、情景分析:Domain transition的實現
6、情景分析:文件系統(tǒng)的掛載和新文件的創(chuàng)建
7、Context數據結構和u32 sid之間的映射
8、Class Mapping
9、和文件操作相關的回調函數
10、和AF_UNIX socket相關的回調函數(todo)
11、和程序執(zhí)行相關的操作(todo)
十一、用戶態(tài)應用程序對SELinux的支持
1、libselinux相關文件分析
2、newrole源代碼分析
3、PAM模塊分析
十二、refpolicy的編譯,鏈接,擴展
1、描述標識符的數據結構
2、描述規(guī)則的數據結構
3、用戶態(tài)policydb_t數據結構分析
4、module的編譯-checkmodule
5、module的鏈接-semodule_link
6、module的擴展-semodule_expand
7、link和expand過程的圖解(new)
8、規(guī)則中的m4宏定義(new)
十三、SELinux的應用--Labeled Networking(half-baked)
1、IPsec簡介
2、SELinux對本地網絡的控制(compat-net)
3、用Labeled IPsec實現分布式網絡控制
4、Linux內核XFM相關數據結構
5、和IPsec相關的類,權限和接口
6、LSM中和Labeled Ipsec相關的回調函數
7、Labeled IPsec環(huán)境的搭建
8、觀察Labeled IPsec的行為
9、和Labeled IPsec相關的SELinux規(guī)則