SELinux 的网络安全设计

崔凯

　号称全世界最安全的操作系统，由美国国安局所推行的SELinux ，在日前发表它对安全政策的支持文件。其中包含它的Flask架构与AVC组件，提供相当弹性的支持操作系统的程序管理、档案管理、网络连结管理等方面的信息安全要求，以达到建构安全服务器的目的。
　　
　　AVC是access vector cache的缩写，这个技术可以提升SELinux因为执行安全检查任务所损失的效能。透过avc_init()等函数与相关的数据结构如：
　　typedef struct avc_audit_data {
　　char type;
　　#define AVC_AUDIT_DATA_FS 1
　　#define AVC_AUDIT_DATA_NET 2
　　union {
　　struct {
　　struct dentry *dentry;
　　struct inode *inode;
　　} fs;
　　struct {
　　char *netif;
　　struct sk_buff *skb;
　　struct sock *sk;
　　__u16 port;
　　__u32 daddr;
　　} net;
　　} u;
　　} avc_audit_data_t;
　　等，来组成kernel呼叫的界面，再配合对安全服务器所提供的avc_ss_grant等函数来完成整个加速机制。
　　

黄东

哈哈哈