Medusa DS9 er et program som brukes til å øke Linux sikkerhet. Den består av to hoveddeler, Linux kernel endringer og den bruker plass daemon.
Kort, støtter det, på kernel nivå, en bruker-space autorisasjon server (og er dermed helt transparent for eventuelle bruker plass applikasjoner). Før gjennomføringen av visse operasjoner, ber kjernen fullmakten server for bekreftelse. Fullmakten server så tillater eller avviser operasjonen.
Fullmakten server kan også påvirke hvordan en operasjon utføres i noen tilfeller, som er beskrevet senere. Denne fremgangsmåte tillater bruk av nesten enhver sikkerhetsarkitektur. Når tillatelsen serveren er konfigurert riktig, kan det bestemme tilgangsrettigheter i systemet til en veldig fin nivå og gjør svært god revisjons.
Foreløpig består Medusa av to grunnleggende deler: en liten patch til Linux-kjernen og en user space sikkerhet daemon som heter "Constable". Constable er dagens implementering av en godkjenningsserver. Bruker plass implementering tillater kernel endringer å være enklere og mindre og dermed lettere å port til nye versjoner av Linux-kjernen og for å være mer fleksible, så forbedringer i godkjenningsserver ikke bør kreve endringer i kjernen.
Kommunikasjon mellom Constable og kernel går gjennom spesiell enhet "/ dev / medusa" (char stor 111 minor 0), fordi det skal være både rask og fleksibel. Når kjerne behov bekreftelse, skriver det data til denne enheten, gjør den nåværende prosessen søvn og våkner Constable. Constable leser data fra / dev / medusa, velger en respons (avhengig av hans konfigurasjon, som er omtalt i doc / Constable), sender den tilbake til kjernen og sover.
Kjernen blir dataene, våkner prosessen og bestemme resultatet av operasjonen. Constable kan også sende enkelte kommandoer til kernel (selv om kjernen ikke krever dem), som deretter henrettet av kjernen. Sikkerheten nissen har til å bruke en bestemt kommunikasjonsprotokoll definert i kjernen, så det er mulig å gjennomføre en fullverdig autorisasjon server ved bare å kjenne denne protokollen og vite at kjernen støtter det, uten å tenke på hva som egentlig skjer i kjernen.
Constable er bare ett eksempel på en slik autorisasjonsserver. Protokollen tillater kommunikasjon i form av pakker som bærer all nødvendig data.
Kommentarer ikke funnet