haku: @keyword Linux / yhteensä: 74
viite: 1 / 74
« edellinen | seuraava »
Tekijä: | Riitaoja, Taneli |
Työn nimi: | Implementing an SELinux Security Policy for a Data Management Software |
SELinux -tietoturvamoduulin toteuttaminen datanhallinta ohjelmistolle | |
Julkaisutyyppi: | Diplomityö |
Julkaisuvuosi: | 2014 |
Sivut: | 75 s. + liitt. 11 Kieli: eng |
Koulu/Laitos/Osasto: | Perustieteiden korkeakoulu |
Oppiaine: | Tietoliikenneohjelmistot (T-110) |
Valvoja: | Aura, Tuomas |
Ohjaaja: | |
Elektroninen julkaisu: | http://urn.fi/URN:NBN:fi:aalto-201411123025 |
OEVS: | Sähköinen arkistokappale on luettavissa Aalto Thesis Databasen kautta.
Ohje Digitaalisten opinnäytteiden lukeminen Aalto-yliopiston Harald Herlin -oppimiskeskuksen suljetussa verkossaOppimiskeskuksen suljetussa verkossa voi lukea sellaisia digitaalisia ja digitoituja opinnäytteitä, joille ei ole saatu julkaisulupaa avoimessa verkossa. Oppimiskeskuksen yhteystiedot ja aukioloajat: https://learningcentre.aalto.fi/fi/harald-herlin-oppimiskeskus/ Opinnäytteitä voi lukea Oppimiskeskuksen asiakaskoneilla, joita löytyy kaikista kerroksista.
Kirjautuminen asiakaskoneille
Opinnäytteen avaaminen
Opinnäytteen lukeminen
Opinnäytteen tulostus
|
Sijainti: | P1 Ark Aalto 2007 | Arkisto |
Avainsanat: | SELinux iRODS mandatory access control Linux Security-Enhanced Linux security policy module pakollinen käyttöoikeusvalvonta IDA tietoturva politiikka moduuli |
Tiivistelmä (fin): | Security-Enhanced Linux (SELinux) on Linuxin kernel moduuli, joka mahdollistaa sääntöpohjaisen pääsynvalvonnan (MAC) Linux käyttöjärjestelmässä. SELinuxin avulla järjestelmäylläpitäjät ja ohjelmistokehittäjät voivat luoda modulaarisia tietoturvasääntöjä ohjelmistoille. Tässä diplomityössä kehitettiin tietoturvasääntömoduuli Integrated Rule-Oriented Data System (iRODS) datanhallintaohjelmistolle, jota käytetään CSC - Tieteen tietotekniikan keskus Oy:n ylläpitämässä IDA-palvelussa. Sääntöpohjaisena pääsynvalvontajärjestelmänä SELinux hyödyntää identitettiin pohjautuvaa pääsynhallintaa, rooleihin pohjautuvaa pääsynhallintaa, ja tyyppeihin pohjautuvaa pääsynhallintaa tehdessään päätöksiä siitä, mitkä subjektien operaatiot objekteille tulisi sallia. Tässä työssä kehitetty iRODS tietoturvasääntömoduuli hyödyntää edellä mainituista tietoturvaparadigmoista enimmäkseen tyyppeihin pohjautuvaa pääsynhallintaa. Tätä diplomityötä varten konfiguroitiin erityinen testiympäristö matkimaan IDA-palvelun varsinaista tuotantoympäristöä. Tässä diplomityössä esitellään ja selitetään yksityiskohtaisesti työkalut, konfiguroinnit ja käytännön ohjelmistokehitysprosessit, joita tarvittiin em. SELinux tietoturvasääntömoduulin kehittämisessä. Syvällinen Red Hat Enterprise Linux 6 (RHEL6) SELinuxin puitteiden ymmärtäminen osoittautui välttämättömäksi tietoturvasääntömoduulin kehityksessä. SELinuxin työkalujen ja dokumentaation huono käytettävyys nostetaan tässä diplomityössä myös esille. Valmis tietoturvasääntömoduuli testattiin hyödyntäen regressiotestausta ja tyypillisiä käyttötapauksia useiden kuukausien ajan testiympäristössä. Työssä myös kokeiltiin tietoturvapolitiikkojen analysointityökaluja. Saatujen kokemusten perusteella SELinuxin käyttöönotto ja tietoturvapoliitikkojen kehittäminen ohjelmille vaatii suurta vaivannäköä, joten työstä vastuussa olevien järjestelmäasiantuntijoiden koulutus on erityisen tärkeää. |
Tiivistelmä (eng): | Security-Enhanced Linux (SELinux) is a Linux kernel module implementing a mandatory access control (MAC) scheme over the Linux operating system. SELinux allows system administrators and developers to create modular security policies for applications. In this thesis, a security policy module was developed for the Integrated Rule-Oriented Data System (iRODS) data managment software used in CSC - IT Center for Science Ltd's IDA service. As a mandatory access control scheme, SELinux utilizes Identity-based Access Control (IBAC), Role-based Access Control (RBAC), and Type Enforcement (TE) when determining whether an operation requested by a subject on an object is allowed. Of these security paradigms, the iRODS security policy implemented in this thesis relies mostly on type enforcement. For this thesis, a test environment was configured to imitate the IDA service's production environment. This thesis introduces and explains in detail the tools, configurations, and practical development processes needed to implement SELinux security policy modules from scratch. The development approach for a MAC based security policy module is significantly different from a typical programming approach. When creating the security policy module, it proved necessary to thoroughly understand the Red Hat Enterprise Linux 6 (RHEL6) SELinux framework. Poor usability regarding SELinux tools and documentation was found to be a major problem in the work. The finished security policy module was tested using regression tests and use cases over several months in the test environment. The policy was also analyzed experimentally with the available analysis tools. Based on the work done, enabling SELinux on previously unenforced systems, and implementing security policies for applications, can require great effort, and thus the training of system administrators responsible for these tasks should be a high priority. |
ED: | 2014-11-16 |
INSSI tietueen numero: 50051
+ lisää koriin
« edellinen | seuraava »
INSSI