SELinux的网络安全设计
号称全世界最安全的操作系统,由美国易做图所推行的SELinux ,在日前发表它对安全政策的支持文件。其中包含它的Flask架构与AVC组件,提供相当弹性的支持操作系统的程序管理、档案管理、网络连结管理等方面的信息安全要求,以达到建构安全服务器的目的。AVC是access vector cache的缩写,这个技术可以提升SELinux因为执行安全检查任务所损失的效能。透过avc_init()等函数与相关的数据结构如:
typedef struct avc_audit_data {
char type;
#define AVC_AUDIT_DATA_FS 1
#define AVC_AUDIT_DATA_NET 2
union {
struct {
struct dentry *dentry;
struct inode *inode;
} fs;
struct {
char *netif;
struct sk_buff *skb;
struct sock *sk;
__u16 port;
__u32 daddr;
} net;
} u;
} avc_audit_data_t;
等,来组成kernel呼叫的界面,再配合对安全服务器所提供的avc_ss_grant等函数来完成整个加速机制。