当前位置：首页 > news >正文

操作系统与虚拟化安全重点 3.7.最小特权管理

news 2026/3/27 5:09:02

最小特权管理

- 一、最小特权原则的内涵与实施方法
- - （一）最小特权原则的内涵
  - （二）最小特权实施方法
- 二、权能的内涵与遗传算法原理
- - （一）权能的内涵
  - （二）权能遗传算法原理
  - - 1. 权能集的角色
    - 2. Linux权能遗传算法
    - 3. DG/UX权能遗传算法
    - 4. 遗传关系规则

一、最小特权原则的内涵与实施方法

（一）最小特权原则的内涵

最小特权原则（Principle of Least Privilege）要求计算机系统中的每个程序、用户和进程仅被授予执行其任务所需的最低权限集合，不得拥有任何额外特权。

该原则的核心价值体现在：

控制损害范围：当出现误操作、软件漏洞或恶意攻击时，可将影响限制在最小权限范围内
减少特权交互：降低特权程序间不必要的交互，防止权限滥用或意外提升
简化审计流程：权限滥用发生时，需要审查的程序数量最小化，便于快速定位问题
贯彻需知原则：类似军事安全中的"need-to-know"原则，仅授予必要的访问权限

（二）最小特权实施方法

根据课件内容，实现最小特权管理的主要方法包括：

特权细分与权能化
- 将传统的"超级用户（root）"权限分解为多个细粒度权能（Capabilities）
- 例如：CAP_OWNER（绕过所有权检查）、CAP_NET_ADMIN（网络管理权限）、CAP_AUDIT（审计权限）等
基于职责的权限分配
- 为不同管理角色分配仅满足其职责需要的权能：
  - 系统安全管理员（SSO）：负责安全策略
  - 审计员（AUDIT）：仅具备日志查看权限
  - 安全操作员（SOP）：负责日常安全维护
  - 网络管理员（NET）：仅拥有网络配置权限
- 确保单个管理员无法危及整个系统安全
进程与文件的权能管理
- 每个进程和可执行文件关联三种权能集：
  - 可继承集（Inheritable）：可传递给子进程的权能
  - 许可集（Permitted）：当前允许使用的最大权能集合
  - 有效集（Effective）：当前实际生效的权能集合
- 系统根据进程权能集判断是否允许执行特权操作（如mount、关机等）
权能遗传控制
- 通过权能遗传算法（如Linux和DG/UX的实现）严格控制权限传递
- 确保新进程仅获得必需且明确允许的权能，避免意外继承多余权限
边界集约束机制
- 在DG/UX等系统中引入边界集作为权能上限
- 任何权能不能超出边界集范围，且边界集本身不可扩展，有效限制权限扩散
初始进程权能配置
- 系统启动时为关键进程（如/sbin/init、/bin/login）设置适当的初始权能
- 用户登录后，根据角色属性为其初始shell进程分配合适的权能状态

二、权能的内涵与遗传算法原理

（一）权能的内涵

权能（Capability）是一种细粒度的、令牌化的权限单位，用于在操作系统中实现超越传统DAC（自主访问控制）和MAC（强制访问控制）的特权操作。

权能的定义：
- 根据POSIX 1003.6标准，权能是指"执行特定受限操作或覆盖特定访问控制策略的能力"
- 作为系统中实施"适当特权"的令牌
权能的应用场景：
- 进程发起访问请求时，系统检查流程：
  - 检查DAC权限 → 若不允许但进程具备相应权能，仍可继续
  - 检查MAC权限 → 若不允许但进程具备相应权能，仍可继续
- 权能允许进程在特定情况下绕过访问控制检查
与传统root权限的区别：
- root权限采用"全有或全无"模式
- 权能支持部分授权，实现最小特权原则

（二）权能遗传算法原理

权能遗传算法用于控制进程执行新程序（如通过exec()系统调用）时的权能状态传递，确保符合最小特权原则。

1. 权能集的角色

课件定义了三类权能集，分别应用于进程（p）和文件（f）：

权能集	进程中的含义（pI, pP, pE）	文件中的含义（fI, fP, fE）
可继承集（I）	可传递给子进程的权能	程序运行时可从父进程继承的权能
许可集（P）	允许使用的最大权能集	程序运行所需的基本权能集
有效集（E）	实际生效的权能集	程序运行后将激活的权能集