Документация по LinuxLinuxDoc.Ru 🔍
🕛

CyanogenMod интегрирует поддержку SELinux

Разработчики проекта CyanogenMod, в рамках которого независимым сообществом развивается альтернативная сборка платформы Android, объявили о проведении работы по интеграции наработок SEAndroid (Security Enhancements for Android) для добавления в развиваемую проектом прошивку средств принудительного контроля доступа SELinux.



SELinux разработан Агентством национальной безопасности США, входит в состав ядра Linux с 2003 года и уже достаточно давно поддерживается в таких дистрибутивах как Fedora, Red Hat Enterprise Linux, Debian, Ubuntu, openSUSE и SUSE Linux Enterprise. Несмотря на спекуляции в прессе о возможных закладках АНБ, SELinux никаким образом не должен восприниматься в контексте программ слежки, подобных PRISM, так как код был многократно проверен и подвергнут независимому аудиту, а также более 10 лет развивается при активном участии сообщества и ведущих Linux-вендоров.

До сих пор средства контроля доступа SELinux не использовались в платформе Android, несмотря на то, что данная технологии изначально поддерживается ядром Linux, лежащим в основе данной мобильной платформы. В рамках проекта SEAndroid c начала 2012 года развивается набор дополнений и правил SELinux, учитывающих особенности архитектуры платформы Android и, в частности, модели запуска приложений и разделения привилегий между ними.

Внедрение SELinux позволит существенно повысить изоляцию системных приложений платформы Android, которым будет предоставлен только доступ к заявленным функциям и данным. Все нештатные операции будут блокироваться, что даст возможность предотвратить несанкционированные действия в случае взлома приложения в результате атаки. При текущей дискретной модели разделения привилегий, взлом системного сервиса, работающего с правами root, открывает для злоумышленника неограниченный доступ к платформе и данным пользователя. Активация SELinux позволит блокировать атаки на системные сервисы.



SELinux для Android отличается адаптацией компонентов пользовательского уровня для работы поверх системной библиотеки Bionic вместо Glibc, интеграцией в систему инициализации Android и сервис запуска новых процессов виртуальной машины, добавлением поддержки меток SELinux для файловой системы yaffs2, набором специфичных правил для системных сервисов Android и популярных сторонних приложений, таких как Skype.

Примечательно, что компания Google также работает над интеграцией правил разделения доступа на основе SELinux в Android, но пока не активирует их в основной платформе. Официальная поддержка SELinux ожидается в выпуске Android 4.3, который по неофициальным данным будет представлен 24 июля. Работа по интеграции SELinux в CyanogenMod ведётся независимо от Google. По умолчанию в прошивках CyanogenMod будет активирован Permissive-режим SELinux, подразумевающий лишь ведение логов аудита, без жесткого блокирования нарушений правил. После того как накопится достаточная статистика о корректности работы сформированных правил, не исключается включение по умолчанию режима "Enforcing".

Также по теме:
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Linux - Новости Linux - CyanogenMod интегрирует поддержку SELinux
Мы в соцсетях ✉