haku: @keyword Linux / yhteensä: 74
viite: 1 / 74
« edellinen | seuraava »
Tekijä:Riitaoja, Taneli
Työn nimi:Implementing an SELinux Security Policy for a Data Management Software
SELinux -tietoturvamoduulin toteuttaminen datanhallinta ohjelmistolle
Julkaisutyyppi:Diplomityö
Julkaisuvuosi:2014
Sivut:75 s. + liitt. 11      Kieli:   eng
Koulu/Laitos/Osasto:Perustieteiden korkeakoulu
Oppiaine:Tietoliikenneohjelmistot   (T-110)
Valvoja:Aura, Tuomas
Ohjaaja:
Elektroninen julkaisu: http://urn.fi/URN:NBN:fi:aalto-201411123025
OEVS:
Sähköinen arkistokappale on luettavissa Aalto Thesis Databasen kautta.
Ohje

Digitaalisten opinnäytteiden lukeminen Aalto-yliopiston Harald Herlin -oppimiskeskuksen suljetussa verkossa

Oppimiskeskuksen suljetussa verkossa voi lukea sellaisia digitaalisia ja digitoituja opinnäytteitä, joille ei ole saatu julkaisulupaa avoimessa verkossa.

Oppimiskeskuksen yhteystiedot ja aukioloajat: https://learningcentre.aalto.fi/fi/harald-herlin-oppimiskeskus/

Opinnäytteitä voi lukea Oppimiskeskuksen asiakaskoneilla, joita löytyy kaikista kerroksista.

Kirjautuminen asiakaskoneille

  • Aalto-yliopistolaiset kirjautuvat asiakaskoneille Aalto-tunnuksella ja salasanalla.
  • Muut asiakkaat kirjautuvat asiakaskoneille yhteistunnuksilla.

Opinnäytteen avaaminen

  • Asiakaskoneiden työpöydältä löytyy kuvake:

    Aalto Thesis Database

  • Kuvaketta klikkaamalla pääset hakemaan ja avaamaan etsimäsi opinnäytteen Aaltodoc-tietokannasta. Opinnäytetiedosto löytyy klikkaamalla viitetietojen OEV- tai OEVS-kentän linkkiä.

Opinnäytteen lukeminen

  • Opinnäytettä voi lukea asiakaskoneen ruudulta tai sen voi tulostaa paperille.
  • Opinnäytetiedostoa ei voi tallentaa muistitikulle tai lähettää sähköpostilla.
  • Opinnäytetiedoston sisältöä ei voi kopioida.
  • Opinnäytetiedostoa ei voi muokata.

Opinnäytteen tulostus

  • Opinnäytteen voi tulostaa itselleen henkilökohtaiseen opiskelu- ja tutkimuskäyttöön.
  • Aalto-yliopiston opiskelijat ja henkilökunta voivat tulostaa mustavalkotulosteita Oppimiskeskuksen SecurePrint-laitteille, kun tietokoneelle kirjaudutaan omilla Aalto-tunnuksilla. Väritulostus on mahdollista asiakaspalvelupisteen tulostimelle u90203-psc3. Väritulostaminen on maksullista Aalto-yliopiston opiskelijoille ja henkilökunnalle.
  • Ulkopuoliset asiakkaat voivat tulostaa mustavalko- ja väritulosteita Oppimiskeskuksen asiakaspalvelupisteen tulostimelle u90203-psc3. Tulostaminen on maksullista.
Sijainti:P1 Ark Aalto  2007   | Arkisto
Avainsanat:SELinux
iRODS
mandatory access control
Linux
Security-Enhanced Linux
security policy module
pakollinen käyttöoikeusvalvonta
IDA
tietoturva politiikka moduuli
Tiivistelmä (fin):Security-Enhanced Linux (SELinux) on Linuxin kernel moduuli, joka mahdollistaa sääntöpohjaisen pääsynvalvonnan (MAC) Linux käyttöjärjestelmässä.
SELinuxin avulla järjestelmäylläpitäjät ja ohjelmistokehittäjät voivat luoda modulaarisia tietoturvasääntöjä ohjelmistoille.
Tässä diplomityössä kehitettiin tietoturvasääntömoduuli Integrated Rule-Oriented Data System (iRODS) datanhallintaohjelmistolle, jota käytetään CSC - Tieteen tietotekniikan keskus Oy:n ylläpitämässä IDA-palvelussa.

Sääntöpohjaisena pääsynvalvontajärjestelmänä SELinux hyödyntää identitettiin pohjautuvaa pääsynhallintaa, rooleihin pohjautuvaa pääsynhallintaa, ja tyyppeihin pohjautuvaa pääsynhallintaa tehdessään päätöksiä siitä, mitkä subjektien operaatiot objekteille tulisi sallia.
Tässä työssä kehitetty iRODS tietoturvasääntömoduuli hyödyntää edellä mainituista tietoturvaparadigmoista enimmäkseen tyyppeihin pohjautuvaa pääsynhallintaa.

Tätä diplomityötä varten konfiguroitiin erityinen testiympäristö matkimaan IDA-palvelun varsinaista tuotantoympäristöä.
Tässä diplomityössä esitellään ja selitetään yksityiskohtaisesti työkalut, konfiguroinnit ja käytännön ohjelmistokehitysprosessit, joita tarvittiin em.
SELinux tietoturvasääntömoduulin kehittämisessä.
Syvällinen Red Hat Enterprise Linux 6 (RHEL6) SELinuxin puitteiden ymmärtäminen osoittautui välttämättömäksi tietoturvasääntömoduulin kehityksessä.
SELinuxin työkalujen ja dokumentaation huono käytettävyys nostetaan tässä diplomityössä myös esille.

Valmis tietoturvasääntömoduuli testattiin hyödyntäen regressiotestausta ja tyypillisiä käyttötapauksia useiden kuukausien ajan testiympäristössä.
Työssä myös kokeiltiin tietoturvapolitiikkojen analysointityökaluja.
Saatujen kokemusten perusteella SELinuxin käyttöönotto ja tietoturvapoliitikkojen kehittäminen ohjelmille vaatii suurta vaivannäköä, joten työstä vastuussa olevien järjestelmäasiantuntijoiden koulutus on erityisen tärkeää.
Tiivistelmä (eng):Security-Enhanced Linux (SELinux) is a Linux kernel module implementing a mandatory access control (MAC) scheme over the Linux operating system.
SELinux allows system administrators and developers to create modular security policies for applications.
In this thesis, a security policy module was developed for the Integrated Rule-Oriented Data System (iRODS) data managment software used in CSC - IT Center for Science Ltd's IDA service.

As a mandatory access control scheme, SELinux utilizes Identity-based Access Control (IBAC), Role-based Access Control (RBAC), and Type Enforcement (TE) when determining whether an operation requested by a subject on an object is allowed.
Of these security paradigms, the iRODS security policy implemented in this thesis relies mostly on type enforcement.

For this thesis, a test environment was configured to imitate the IDA service's production environment.
This thesis introduces and explains in detail the tools, configurations, and practical development processes needed to implement SELinux security policy modules from scratch.
The development approach for a MAC based security policy module is significantly different from a typical programming approach.
When creating the security policy module, it proved necessary to thoroughly understand the Red Hat Enterprise Linux 6 (RHEL6) SELinux framework.
Poor usability regarding SELinux tools and documentation was found to be a major problem in the work.

The finished security policy module was tested using regression tests and use cases over several months in the test environment.
The policy was also analyzed experimentally with the available analysis tools.
Based on the work done, enabling SELinux on previously unenforced systems, and implementing security policies for applications, can require great effort, and thus the training of system administrators responsible for these tasks should be a high priority.
ED:2014-11-16
INSSI tietueen numero: 50051
+ lisää koriin
« edellinen | seuraava »
INSSI