剖析LSM的前世今生（超详细）

　　本文主要介绍了LinuxSecurityModule（LSM）的基本原理，应用场景及编程实例。第一部分以LinuxKernel文档为基础，介绍了LSM的定义、诞生与发展，并简述了LSM的实现原理；第二部分以鼎鼎大名SELinux为例，介绍了LSM的具体实现。
　　本文主要基于LinuxKernel官方文档和源码撰写，如果有疏漏，欢迎指正。一、LSM是个啥1。LSM的定义
　　TheLinuxSecurityModule（LSM）frameworkprovidesamechanismforvarioussecuritycheckstobehookedbynewkernelextensions。Thenamemoduleisabitofamisnomersincetheseextensionsarenotactuallyloadablekernelmodules。Instead，theyareselectableatbuildtimeviaCONFIGDEFAULTSECURITYandcanbeoverriddenatboottimeviathesecurity。。。kernelcommandlineargument，inthecasewheremultipleLSMswerebuiltintoagivenkernel。
　　从LinuxKernel官网页面中的介绍中可以大概总结出几个关键点：
　　lLSM框架基于hook机制实现内核功能扩展
　　l虽然名字里带Module，但LSM并不是传统意义上的内核模块
　　lKernel中可以同时编译进多个不同的LSM
　　lLSM并不是运行时加载，而是编译时引入，在boot阶段通过命令行加载2。LSM的诞生与发展
　　在2001年的LinuxKernel峰会上，NSA代表建议在LinuxKernel2。5中加入SecurityEnhancedLinux（SELinux）。然而，这一提议遭到了LinusTorvalds的拒绝。一方面，SELinux并不是惟一用于增强Linux安全性的安全子系统；另一方面，并不是所有的开发人员都认为SELinux是最佳解决方案。最终SELinux没能加入到LinuxKernel2。5，取而代之的是LinuxSecurityModule的开发被提上日程。
　　LSM子系统自提出后开发了近3年，并终于在LinuxKernel2。6正式加入到内核中，随之应运而生了大量LSM，比如Ubuntu、OpenSUSE、SUSE、Debian等发行版中默认的AppArmor，以及RHEL、Fedora、CentOS等发行版中默认的SELinux。3。LSM的软件架构及实现原理
　　从图1中可以看出LSM在Linux安全体系中所处的位置，LSMhook被插入到访问kernel对象与DAC检查之见，然后LSM调用系统中启用的访问控制模块，检查是否可以访问。若有多个访问控制模块，会根据初始化的优先顺序执行，都允许访问才能进一步访问kernel对象。使用LSMHook框架进行内核安全审计和元数据捕获。安全开发人员只需要按照既定的调用规范编写LSM模块，并加载进Linux内核，而不需要对系统调用表进行任何修改。
　　图1LSM软件逻辑
　　LSM的设计思想是在最少改变内核代码的情况下，提供一个能够成功实现强制访问控制模块需要的结构或者接口。其中，LSM对内核代码的改动如下：l在特定的内核数据结构中加入安全域l在内核源代码中不同的关键点插入对安全钩子函数的调用l加入一个通用的安全系统调用l提供了函数允许内核模块注册为安全模块或者注销l将capabilities逻辑的大部分移植为一个可选的安全模块LSM机制之所以简单实用，是因为它的设计者几乎罗列了任何可能出现安全问题的地方，然后在这些地方安插钩子，并且这些钩子的实现定义为回调函数，具体的安全引擎只需要自己实现这些钩子函数即可。
　　更多linux内核视频教程文档资料免费领取后台私信【内核】自行获取。
　　Linux内核源码内存调优文件系统进程管理设备驱动网络协议栈学习视频教程腾讯课堂
　　二、LSM有啥用1。大名鼎鼎的SELinux
　　作为最知名的LSM之一，哪怕是刚开始接触Linux内核安全的新人，也一定或多或少听说过SELinux的大名。如果你没听说过，可以去翻翻往期内核工匠的文章，在《SELinux介绍》一文中，Tenny大佬对SELinux的基础框架和基本原理都做了介绍，同时对SELinuxPolicy做了介绍，本节将不再赘述。2。从LSM视角看待SELinux具体实现
　　上一节最后讲到了LSM对内核的改动，下面就以SELinux为例，详细讲解一下LSM在内核中的具体实现。（1）在inode结构体中加入安全域如图2所示，在inode数据结构中加入安全域字段，isecurity字段指向一段安全域，该区域内顺序存放着各个安全模块自己的数据，每个安全模块会记录自己在安全域内的offset。内核通过在文件inode对象中间接引用的isecurity对象（void），实现各种各样的安全模块。
　　图2在inode数据结构中加入安全域字段
　　（2）添加hook函数调用
　　在内核代码中埋入的每个安全hook函数都会设立自己的hlist，以便于不同的安全引擎能同时工作（如SELinux与AppArmor共存）。每一个hook点都可以用securityhooklist结构体来描述，同时每个hook点包含一个函数声明和自己hlist的头部，如图3所示：
　　图3hooklist数据结构
　　在头文件lsmhookdefs。h中，罗列出了各种hook点的名称，SELinux通过复用LSMHOOK宏对hook函数进行初始化，如图4所示：
　　图4hook函数初始化
　　selinuxhooks就是SELinux模块实现的hook点结构体数组，通过上面提到的LSMHOOKINIT宏对structsecurityhooklist结构中的成员head进行初始化，并将SELinux实现的函数selinuxbindersetcontextmgr赋给对应函数指针。然而，这个宏仅仅初始化了两个成员，并未将实现的函数插入到hook点下hlist中。Linux提供securityaddhooks函数执行插入哈希链表操作，内核代码中埋入的hook点在被调用时，会遍历自己的hlist，依次调用之前注册的安全函数。如图5所示：
　　图5securityaddhooks函数
　　（3）LSM数据结构
　　如图6所示，在Linux内核中，通过使用lsminfo结构体对各个安全模块进行描述。在头文件vmlinux。lds。h中，定义了lsminfo数据区域，用于存放lsminfo结构体，并使用DEFINELSM宏对其进行初始化。
　　图6LSM数据结构
　　如图7所示是SELinux中的lsminfo结构体定义，包含模块名称及init函数。
　　图7SELinux模块的lsminfo结构体
　　（4）LSM初始化
　　如上一节在LSM定义中所提到的，LSM并不是运行时加载，而是编译时引入，在boot阶段通过命令行加载。在startkernel（系统启动执行完架构相关代码后，通用代码的入口）后，开始调用earlylsminit命令和securityinit命令。
　　earlylsminit命令在Kernel5。4引入，目的是对在setuparch（）中启动的代码配置安全策略，以实现在引导早期加载LSM策略的安全机制。通过配置CONFIGSECURITYLOCKDOWNLSMEARLY宏，可以在securityinit命令之前启动，目前lockdown是为数不多使用这种配置的模块之一。
　　图8earlylsminit函数
　　如图8所示，earlylsm阶段通过调用earlylsminit函数完成初始化，在头文件vmlinux。lds。h中定义了startearlylsminf，由DEFINEEARLYLSM（lsm）宏调用初始化函数，如图9所示：
　　图9lockdown模块初始化
　　如图10所示是earlylsm阶段的两个核心函数preparelsm和initializelsm。
　　图10preparelsm函数与initializelsm函数
　　preparelsm函数通过调用lsmallowed函数进行判断，如果有模块的flag中加入了LSMFLAGEXCLUSIVE，则注册成独占模块，其他声明了LSMFLAGEXCLUSIVE的模块就不会被启用。常见Linux系统中lockdown，yama，loadpin，safesetid，integrity以及capbility均为非独占模块，在内核中可以同时加载；而selinux，apparmor以及smack均是独占模块，不能同时加载。initializelsm函数实际上就是调用安全模块自己注册的init函数。
　　讲完earlylsm阶段，接下来说一下securityinit阶段。
　　图11securityinit函数
　　如图11所示，securityinit阶段通过调用securityinit函数完成初始化。其中，lsmnames保存内核启动的lsm模块名，本身是一个字符型指针，赋值时需要通过alloc函数申请内存，而earlysecurityinit阶段无法完成这个操作，因此在securityinit中，会对模块是否属于earlysecurityinit阶段进行判断。
　　图12orderedlsminit函数
　　如图12所示是securityinit阶段的核心函数orderedlsminit函数。下面看一下其具体实现。
　　orderedlsms是一个结构体指针数组，用于保存在静态数据区中定义的lsminfo结构体。
　　chosenlsmorder和chosenmajorlsm均保存cmdline传入的lsm相关参数，分别对应cmdline的lsm参数和security参数，lsm表示指定多个安全模块的加载顺序，security是指定一个补充加载的安全模块。
　　builtinlsmorder等同于CONFIGLSM，即在kernel配置时选择的安全模块加载顺序字符串。
　　orderedlsmparse函数的作用是将。lsminfo。init中无序的静态数据（lsminfo）地址按照CONFIG中的逗号隔开的顺序放到orderedlsms指针数组中。
　　（1）配置LSM的securityblobsize在lsminfo结构体中，使用lsmblobsizes结构体来存放LSM的Securityblobsize或者offset数据。blobsize指的是LSM框架下实现的安全域数据大小。其结构体声明如图13所示：
　　图13lsmblobsizes结构体
　　在lsm初始化阶段，LinuxKernel提供了lsmsetblobsizes函数用于配置模块的blobsize，一般模块在静态定义lsminfo时会定义blobsize，如图14是SELinux的blobsize定义：
　　需要注意的是，全局变量blobsizes是各个使能的模块的blobsize的累加值，并会将累加的offset重新赋值给模块的blobs对应字段。三、总结
　　在LSM诞生之前，LinuxKernel安全加固的方案多种多样，随着LSM加入内核，从前的安全性内核补丁如今破坏了内核的完整性，使用LSM框架中的标准预置回调函数进行hook是当前最优雅的解决方案。而Kernel5。4中加入的lockdown模块（前文提到的earlylsm阶段加载的模块）直接禁止了运行时对内核进行动态修改，使得LSM成为Linux安全模块开发的唯一途径。