通过使用 LSM 增强容器运行时的安全性

最新推荐文章于 2024-02-28 09:27:23 发布
最新推荐文章于 2024-02-28 09:27:23 发布
阅读量120 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CyberBladeX/article/details/132263603
编程 专栏收录该内容
396 篇文章 ¥29.90 ¥99.00
订阅专栏
本文探讨了如何通过Linux Security Modules (LSM)框架提升容器安全性。通过启用AppArmor和Seccomp等LSM模块,并编写自定义访问控制策略,限制容器进程的文件访问权限,以增强容器运行时的安全保障。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过使用 LSM 增强容器运行时的安全性

随着容器技术的日益普及和应用,容器的安全性问题也日益凸显。为了提供更高级别的安全保障,Linux系统引入了 Linux Security Modules(LSM)框架。LSM允许开发者为容器运行时加入自定义的访问控制策略以增强其安全性。

本文将介绍如何通过 LSM 在容器运行时实施额外的安全保障,并提供相应的源代码示例。

首先,我们需要在容器运行时中启用 LSM。LSM框架在Linux内核中已经集成,因此我们只需在容器启动时指定所需的 LSM 模块即可。下面是一个示例的Dockerfile:

FROM ubuntu:latest
ENV container=docker

# 安装所需的软件包和工具
RUN apt-get update && apt-get install -y \
    apparmor-utils \
    libseccomp-dev \
    libseccomp2

# 启用 LSM 模块
CMD ["--security-opt", "apparmor=unconfined", "--security-opt", "seccomp=unconfined"]

上述示例中,我们使用了 AppArmor 和 Seccomp 两个 LSM 模块。通过设置 --security-opt 参数,我们将这些模块添加到容器运行时的安全配置中。

接下来,我们为容器运行时编写自定义的 LSM 模块。下面是一个简单的示例,其中我们实现了一个自定义访问控制策略,限制容器中的进程只能访问指定目录:


                

                
                
        

    

    
  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        


    



                



	

		

			

				
					
通过LSM增强容器运行的安全保护

				
			

			

				

					TechGlide的博客
				

				

					09-16
					
					68
					
				

			

		

		

			
				
需要注意的是,上述示例代码只是一个简单的LSM模块,你可以根据实际需求编写更复杂的安全策略。需要注意的是,以上示例代码只是一个简单的LSM模块,你可以根据实际需求编写更复杂的安全策略。另外,LSM模块的编写和加载需要一定的内核编译和配置知识,确保在操作过程中遵循最佳实践并充分测试。在完成内核编译和安装后,你可以编写自定义LSM模块。通过LSM增强容器运行的安全保护,可以提高容器环境的安全性,减少潜在的安全漏洞和风险。通过LSM增强容器运行安全性,可以提高容器环境的安全性,减少潜在的安全漏洞和风险。

			
		

	



                

            
              



	

		

			

				
					
linux lsm实现进程白名单,linux安全模块学习之LSM的介绍实现

				
			

			

				

					weixin_33421411的博客
				

				

					05-09
					
					810
					
				

			

		

		

			
				
原标题:linux安全模块学习之LSM的介绍实现文章来自公众号:睿江云计算相关背景介绍近年来Linux系统由于其出色的性能和稳定性,开放源代码特性带来的灵活性和可扩展性,以及较低廉的成本,而受到计算机工业界的广泛关注和应用。但在安全性方面,Linux内核只提供了经典的UNIX自主访问控制(root用户,用户ID,模式位安全机制),以及部分的支持了POSIX.1e标准草案中的capabilities...

			
		

	



              


  
              

                


	

		

			

				
					
linux安全模块学习之LSM的介绍实现

				
			

			

				

					is_old_zhao的博客
				

				

					09-08
					
					283
					
				

			

		

		

			
				
安全域 是一个void*类型的指针,它使得安全模块把安全信息和内核内部对象联系起来。下面列出被修改加入了安全域的内核数据结构,以及各自所代表的内核内部对象:
• task_struct结构:代表任务(进程)
• linux_binprm结构:代表程序
• super_block结构:代表文件系统
• inode结构:代表管道,文件,或者Socket套接字
• file结构:代表打开的文件
• sk_buff结构:代表网络缓冲区(包)
• net_device结构:代表网络设备
• kern_ipc_perm

			
		

	





	

		

			

				
					
LSM零知识学习二、Linux内核中的安全模块

				
			

			

				

					qq_53058639的博客
				

				

					02-28
					
					983
					
				

			

		

		

			
				
SELinux在上文提到的5个安全模块中,SELinux进入内核间最早。事实上,LSM机制是伴随着SELinux而进入内核的。SELinux是5个安全模块中功能最全最复杂的一个。SELinux的开发引入了LSM。在2001年,LinusTorvalds拒绝了SELinux直接进入内核主线,他要求把SELinux做成一个相对独立的模块。于是Linux内核安全子领域的开发者实现了LSM机制。LSM机制带来了两个可能:一个是内核代码中多个安全模块并存;

			
		

	



		

			
		



	

		

			

				
					
Linux 安全 - LSM机制

				
			

			

				

					小立仔
				

				

					10-09
					
					3378
					
				

			

		

		

			
				
Linux 安全 - LSM机制简介

			
		

	





	

		

			

				
					
linux内核安全模块,对Linux内核的修改 - Linux 安全模块LSM)简介_Linux安全_Linux公社-Linux系统门户网站...

				
			

			

				

					weixin_26808023的博客
				

				

					04-30
					
					395
					
				

			

		

		

			
				
3.实现方法介绍:对Linux内核的修改Linux安全模块(LSM)目前作为一个Linux内核补丁的形式实现。其本身不提供任何具体的安全策略,而是提供了一个通用的基础体系给安全模块,由安全模块来实现具体的安全策略。其主要在五个方面对Linux内核进行了修改:在特定的内核数据结构中加入了安全域在内核源代码中不同的关键点插入了对安全钩子函数的调用加入了一个通用的安全系统调用提供了函数允许内核模块注册为...

			
		

	





	

		

			

				
					
使用fsverity与LSM进行eBPF签名

					
最新发布

				
			

			

				

					12-31
				

			

		

		

			
				
使用场景及目标:适用于需要加强容器环境安全性,特别是想要阻止非法访问BPF API的情况下。通过本方案可以增强系统的安全防护能力,防止恶意程序绕过权限检查。 其他说明:本论文提供了关于eBPF程序的安全性提升的...

			
		

	





	

		

			

				
					
KubeArmor实现Kubernetes容器的全面运行安全

				
			

			

				

					
				

			

		

		

			
				
KubeArmor通过运行安全策略的强制执行,增强容器化应用程序的安全性。这不仅可以防止恶意行为,还可以防止由于应用程序的缺陷或配置错误导致的安全风险。KubeArmor的策略包括对进程执行的限制、文件访问控制、...

			
		

	





	

		

			

				
					
vArmor:利用LSM技术的云原生容器安全沙盒系统

				
			

			

				

					
				

			

		

		

			
				
资源摘要信息:"vArmor 是一种基于 Linux Security Module (LSM) 的云原生容器沙盒解决方案,它集成了多种安全技术,旨在为运行容器中的应用程序提供增强的安全防护。vArmor 利用 Linux 的 AppArmor、BPF LSM...

			
		

	





	

		

			

				
					
学习LSM(Linux security module)之二:编写并运行一个简单的demo

				
			

			

				

					weixin_30778805的博客
				

				

					11-07
					
					642
					
				

			

		

		

			
				
  各种折腾,经过了一个蛋疼的周末,终于在Ubuntu14.04上运行了一个基于LSM的简单demo程序。
一:程序编写
  先简单的看一下这个demo:

//demo_lsm.c#include <linux/lsm_hooks.h>
#include <linux/sysctl.h>

static unsigned long long count = ...

			
		

	





	

		

			

				
					
使用LSM实现自己的访问控制

				
			

			

				

					
				

				

					07-23
					
					2121
					
				

			

		

		

			
				
首先对LSM 进行简单介绍。虽然linux下的各位基本都知道一些,但是还要罗嗦一下。
LSM中文全称是linux安全模块。英文全称:linux security module.
LSM是一种轻量级、通用的访问控制框架,适合多种访问控制模型以内核模块的形式实现。其特点是通用、简单、高效、支持POSIX。1e能力机制。
LSM的架构图如下:

通过系统调用进入内核之后,系统首先进行传统的权限

			
		

	





	

		

			

				
					
Linux安全模块LSM)学习——简单的LSM demo(2)

				
			

			

				

					qq_44109982的博客
				

				

					11-23
					
					1953
					
				

			

		

		

			
				
一. 实验目的
在初步熟悉LSM的基础上,仿照SMACK的编码风格,复现Pindown模块(https://github.com/node3/Linux-Security-Module)。
二. 实验环境
本博客用到的linux内核版本为4.19.163,若版本不同则需要对代码进行部分修改。
三. 实验原理和工作流程
实验原理:
该实验将二进制文件的路径与被保护文件的路径相关联。
二进制文件的路径被存储在被保护文件inode的扩展属性xattr中,当一个进程尝试访问文件,在调用exec(),会加载已存储

			
		

	





	

		

			

				
					
unix/linux安全模块,Linux安全模块LSM)简介

				
			

			

				

					weixin_39542111的博客
				

				

					05-13
					
					1299
					
				

			

		

		

			
				
Linux安全模块(LSM)是Linux内核的一个轻量级通用访问控制框架。本文介绍Linux安全模块(LSM)的相关背景,设计思想,实现方法;并说明如何使用Linux安全模块(LSM)来增强Linux系统的安全性:一方面是供内核开发人员和安全研究人员使用的接口,另一方面是供普通用户使用的模块,以及具体的使用方法。如果读者具有Linux内核和安全的相关背景知识,可以有助于对本文的理解;如果不具有,可...

			
		

	





	

		

			

				
					
Linux安全模块LSM)学习——SMACK

				
			

			

				

					qq_44109982的博客
				

				

					11-11
					
					5020
					
				

			

		

		

			
				
0.概述
SMACK(Simplified Mandatory Access Control Kernel)的机制是类型增强(Type Enforcement),而没有去更贪心的实现基于角色的访问控制和多级安全,所以将其作为第二个学习的模块。
类型在SMACK中的具体体现是label,定义一个策略(规定主体可以对客体进行什么操作)的格式为
subjectlabel 	objectlabel 	access
结构体cred中的security指针会指向SMACK定义的数据结构task_smack的一个实例。


			
		

	





	

		

			

				
					
Linux安全模块LSM)简介

				
			

			

				

					weixin_33896069的博客
				

				

					05-07
					
					702
					
				

			

		

		

			
				
Linux安全模块LSM)简介

2009-07-11 11:36中国IT实验室佚名





关键字:Linux技巧



  Linux安全模块(LSM)是Linux内核的一个轻量级通用访问控制框架。本文介绍Linux安全模块(LSM)的相关背景,设计思想,实现方法;并说明如何使用Linux安全模块(LSM)来增强Linux系统的...

			
		

	





	

		

			

				
					
学习LSM(Linux security module)之四:一个基于LSM的简单沙箱的设计与实现

				
			

			

				

					weixin_30847865的博客
				

				

					12-06
					
					562
					
				

			

		

		

			
				
  嗯!如题,一个简单的基于LSM的沙箱设计。环境是Linux v4.4.28。一个比较新的版本,所以在实现过程中很难找到资料,而且还有各种坑逼,所以大部分的间都是在看源码,虽然写的很烂,但是感觉收获还是挺大的。
  具体思路很简单,每个进程都有对应一个task_struct。可以使用task_struct来对进程的行为进行监测和限制,换句话来说,沙箱是基于进程实现的。
  正如官方文档所说...

			
		

	





	

		

			

				
					
学习LSM(Linux security module)之一:解读yama

				
			

			

				

					weixin_30537451的博客
				

				

					11-05
					
					852
					
				

			

		

		

			
				
  最近打算写一个基于LSM安全模块,发现国内现有的资料极少。因此打算自己琢磨一下。大致的学习路线如下:
  由易至难使用并阅读两到三个安全模块->参照阅读模块自己实现一个安全模块->在自己实现的同阅读LSM实现的基本源码,由于Yama代码量小,结构十分清晰,可以作为入门的demo进行参照。
  由于网上关于LSM的相关介绍已经烂大街了,就按自己的初步理解简单介绍一下LS...

			
		

	





	

		

			

				
					
Linux 安全 - LSM源码分析

				
			

			

				

					小立仔
				

				

					10-10
					
					1779
					
				

			

		

		

			
				
Linux 安全 - LSM源码分析简介

			
		

	





	

		

			

				
					
技术分享 | LSM,Linux 内核的安全防护盾

				
			

			

				

					DingdaoOS的博客
				

				

					09-01
					
					763
					
				

			

		

		

			
				
Linux 内核安全的开发从上世纪 90 年代中后期开始,经过 20 多年的开发, Linux 内核中安全相关模块还是很全面的,有用于强制访问控制的 LSM 、有用于完整性保护的 IMA 和 EVM 、有用于加密的密钥管理模块和加密算法库、还有日志和审计模块、以及一些零碎的安全增强特性。同,鼎道智联正在打造的 DingOS 也在探索着相关内容,力争为用户带来更安全、绿色、便捷的操作体验,如果你也对此感兴趣,欢迎关注我们加入鼎道生态,和我们一起创造出更智能、更高效、更可持续的未来。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值