Linux內核安全模塊深入剖析 Linux内核安全模块深入剖析

李志

  • 出版商: 機械工業
  • 出版日期: 2016-12-01
  • 定價: $330
  • 售價: 8.5$281
  • 語言: 簡體中文
  • 頁數: 251
  • 裝訂: 平裝
  • ISBN: 7111549058
  • ISBN-13: 9787111549055
  • 相關分類: Linux

已絕版

買這商品的人也買了...

相關主題

商品描述

<內容簡介>

本書對Linux內核安全子系統做了系統而深入的分析,內容包括Linux內核的自主訪問控制、強制訪問控制、完整性保護、審計日誌、密鑰管理與密鑰使用等。本書的內容填補了國內外關於Linux內核安全的一個空白。本書值得每一個想要深入瞭解Linux安全的人參考,值得計算機安全專業的學生和計算機安全領域的從業人員閱讀,也可作為計算機安全高級課程的教材。

<章節目錄>

前言
第1章導言1
1.1什麼是安全1
1.2計算機系統安全的歷史1
1.3計算機系統安全的現狀2
1.4 Linux內核安全概貌3
第一部分自主訪問控制
第2章主體標記與進程憑證5
2.1進程憑證5
2.2詳述6
2.2.1 uid和gid6
2.2.2系統調用7
2.3 proc文件接口9
2.4參考資料9
習題9
第3章客體標記與文件屬性10
3.1文件的標記10
3.2文件屬性10
3.3系統調用11
3.4其他客體12
3.5其他客體的系統調用14
習題15
第4章操作與操作許可16
4.1操作16
4.2操作許可與操作分類16
4.3允許位18
4.4設置位19
4.4.1文件19
4.4.2目錄19
4.5其他操作的許可20
4.6系統調用20
習題20
第5章訪問控制列表21
5.1簡介21
5.2擴展屬性21
5.3結構21
5.4操作許可23
5.5兩種ACL23
5.6與允許位的關係23
5.7系統調用23
5.8參考資料24
習題24
第6章能力(capabilities)25
6.1什麼是能力25
6.2能力列舉25
6.2.1文件26
6.2.2進程27
6.2.3網絡28
6.2.4 ipc28
6.2.5系統28
6.2.6設備28
6.2.7審計28
6.2.8強制訪問控制(MAC)28
6.3 UNIX的特權機制29
6.4 Linux的能力集合和能力機制29
6.4.1能力集合29
6.4.2能力機制30
6.5向後兼容32
6.6打破向後兼容33
6.7總結34
6.8參考資料34
習題34

第二部分強制訪問控制

第7章SELinux36
7.1簡介36
7.1.1歷史36
7.1.2工作原理36
7.1.3 SELinux眼中的世界39
7.2機制39
7.2.1安全上下文39
7.2.2客體類別和操作40
7.2.3安全上下文的生成和變化59
7.3安全策略62
7.3.1基本定義63
7.3.2安全上下文定義68
7.3.3安全上下文轉換72
7.3.4訪問控制75
7.3. 5訪問控制的限制和條件75
7.4偽文件系統的含義78
7.5 SELinux相關的偽文件系統78
7.5.1 selinuxfs78
7.5.2 proc80
7.6總結80
7.7參考資料81
習題81
第8章SMACK82
8.1歷史82
8.2概述83
8.3工作機制84
8.3.1操作許可84
8.3.2類型轉換84
8.4擴展屬性86
8.5偽文件系統86
8.5.1策略相關文件87
8.5.2網絡標籤相關文件89
8.5.3其他文件90
8.6網絡標籤91
8.7總結91
8.8參考資料91
習題91
第9章Tomoyo92
9.1簡介92
9.1.1基於路徑的安全92
9.1.2粒度管理93
9.1.3用戶態工具93
9.1.4三個分支93
9.2機制93
9.2.1操作許可94
9.2.2類型和域94
9.3策略95
9.3.1域策略95
9.3.2異常96
9.3.3輪廓99
9.4偽文件系統102
9.5總結103
9.6參考資料103
習題103
第10章AppArmor104
10.1簡介104
10.2機制104
10.2.1操作許可104
10.2.2域間轉換107
10.3策略語言108
10.4模式110
10.5偽文件系統110
10.5.1 proc文件系統110
10.5.2 sys文件系統111
10.5.3 securityfs文件系統112
10.6總結113
10.7參考資料113
習題113
第11章Yama114
11.1簡介114
11.2機制114
11.3偽文件系統116
11.4嵌套使用116
11.5總結117
11.6參考資料117
習題117

第三部分完整性保護

第12章IMA/EVM119
12.1簡介119
12.1.1可信計算119
12.1.2完整性120
12.1.3哈希121
12.1.4 IMA/EVM121
12.2架構122
12.2.1鉤子122
12.2.2策略122
12.2.3擴展屬性123
12.2.4密鑰123
12.2.5用戶態工具124
12.3偽文件系統126
12.4命令行參數127
12.5總結128
12.6參考資料128
習題128
第13章dm-verity129
13.1 Device Mapper129
13.2 dm-verity簡介130
13.3代碼分析131
13.3.1概況131
13.3.2映射函數(verity_map)132
13.3.3構造函數(verity_ctr)137
13.4總結138
13.5參考資料138
習題138

第四部分審計和日誌

第14章審計(audit)140
14.1簡介140
14.1.1審計和日誌140
14.1.2概貌140
14.2架構141
14.2.1四個消息來源141
14.2.2規則列表147
14.2.3對文件的審計150
14.3接口153
14.4規則155
14.5總結157
14.6參考資料157
第15章syslog158
15.1簡介158
15.2日誌緩衝158
15.3讀取日誌159
15.4 netconsole160
15.5參考資料160
習題160

第五部分加密

第16章密鑰管理162
16.1簡介162
16.2架構162
16.2.1數據結構162
16.2.2生命週期164
16.2 .3類型168
16.2.4系統調用171
16.2.5訪問類型174
16.3偽文件系統175
16.4總結175
16.5參考資料175
第17章eCryptfs176
17.1簡介176
17.2文件格式176
17.3掛載參數179
17.4設備文件180
17.5用戶態工具180
17.6總結185
17.7參考資料185
第18章dm-crypt186
18.1簡介186
18.2架構186
18.2.1兩個隊列(queue)186
18.2.2五個參數189
18.3總結193
18.4參考資料193
第19章LUKS194
19.1簡介194
19.2佈局194
19.3操作195
19.4總結196
19.5參考資料196

第六部分其他

第20章namespace198
20.1引言198
20.1.1容器與監獄198
20.1.2 chroot()與pivot_root()198
20.2機制202
20.2. 1掛載命名空間203
20.2.2進程間通信命名空間205
20.2.3 UNIX分時命名空間207
20.2.4進程號命名空間208
20.2.5網絡命名空間212
20.2.6用戶命名空間212
20.2.7進程數據結構215
20.3偽文件系統216
20.4系統調用216
20.4.1 clone216
20.4.2 unshare217
20.4.3 setns217
20.5總結217
20.6參考資料218
習題218
第21章cgroup219
21.1簡介219
21.1.1一種安全攻擊219
21.1. 2對策220
21.1.3歷史220
21.1.4用法舉例221
21.2架構222
21.2.1設計原則222
21.2.2代碼分析223
21.3偽文件系統229
21.4總結231
21.5參考資料232
第22章seccomp233
22.1簡介233
22.2架構233
22.2.1進程數據結構233
22.2.2模式234
22.2.3內核中的虛擬機234
22.2.4工作原理235
22.3內核接口236
22.3.1系統調用236
22.3.2偽文件236
22.4總結237
22.5參考資料237
第23章ASLR238
23.1簡介238
23.2內存佈局239
23.2.1偽文件/proc/[pid]/maps239
23.2.2 ELF文件格式240
23.2.3動態鏈接的可執行文件241
23.2.4靜態鏈接的可執行文件243
23.2.5位置無關的可執行文件244
23.3工作原理245
23.4內核接口246
23.5總結246
23.6參考資料246
附錄247