NSA SELinux (1)

Referenz-Implementierung der NSA für ein Security Enhanced Linux

Bisher: Zuweisung von *ids an Subjekt und Objekte durch den Administrator legen unmittelbar Zugriffsrechte fest

Jetzt: Zuweisung von security labels an Subjekte und Objekte; Zugriffsentscheidung wird bei Bedarf getroffen

• Spezieller Prozess im System, der security server trifft Zugriffsentscheidungen
• Bei Erzeugen eines neuen Objektes (z.B. Netzwerkverbindung, Datei) wird security server konsultiert; weist dem neuen Objekt einen label zu, basierend auf label des Subjektes und des Typs des Objektes
• Bei Durchführung einer Aktion auf ein Objekt durch ein Subjekt wird security server konsultiert; trifft Entscheidung auf der Basis der label von Subjekt und Objekt sowie der auszuführenden Aktion
• Ein Cache speichert getroffene Entscheidungen