Linux安全模組

允許Linux核心支援多種電腦安全模型的框架

Linux安全模組(英語:Linux Security Modules,簡稱LSM)是Linux內核中用於支援各種電腦安全模型框架,它與任何單獨的安全實現無關。這個框架使用GNU通用公眾特許條款授權,並且從Linux 2.6開始成為官方Linux內核的一部分。目前,AppArmorSELinuxSmackTOMOYO Linux英語TOMOYO Linux和Yama是官方Linux內核中支援的安全模組。

Linux安全模組提供了強制訪問控制所需的功能,同時儘量減少對Linux內核的修改。因此,它僅僅用於解決訪問控制的問題。Linux安全模組的訪問控制和系統審計很相似,但有細微的不同。審計要求所有的訪問(包括成功的和被阻止的)都被記錄下來,而Linux安全模組無法實現此功能。因為訪問控制可能在呼叫Linux安全模組之前就阻止該訪問。

目前,AppArmorUbuntuOpenSUSESUSEDebian預設的LSM;SELinuxRHELFedoraCentOS預設的LSM。

然而一些開發者並不喜歡Linux安全模組。Grsecurity英語Grsecurity的作者不喜歡LSM[1],因為LSM匯出了它的全部符號,這在方便插入安全模組的同時也方便了惡意模組(Rootkit)。

參考文獻

  1. ^ grsecurity. grsecurity. [2024-11-23]. (原始內容存檔於2011-06-11).