检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
机构地区:[1]国防科学技术大学计算机学院,长沙410073
出 处:《计算机工程》2016年第4期27-30,36,共5页Computer Engineering
基 金:国家自然科学基金资助项目(61202119;61502510);国家部委基金资助项目;信息保障技术重点实验室开放基金资助项目(KJ-13-105;KJ-15-101);未来网络前瞻性研究基金资助项目(BY2013095-2-08)
摘 要:当前Linux系统通过限制root用户登录来防止管理员滥用权限,仅在需要执行特权操作时才允许普通用户临时提升至管理员特权。然而现有Linux系统中用户特权提升机制仅支持将权限提升至root,在启用管理员分权的安全操作系统中无法区分不同管理员的特权提升,致使用户无法处理相应的管理操作。在通过定制SELinux策略实现操作系统管理员分权的基础上,设计支持管理员分权的用户特权提升机制,根据不同特权应用的权限需求对用户权限进行验证,只有通过验证的用户才能将权限提升至应用指定的管理员特权。该机制采用DBus总线结构隔离普通用户权限与管理员特权,并利用SELinux策略对用户特权提升服务的安全性进行保护。实验结果表明,通过该机制可以有效地将普通用户权限提升至系统配置指定的管理员特权。Current Linux systems prevent abuse of administrator privileges by restricting root login. Ordinary users are allowed to be temporarily elevated to administrator privileges when there is a need to perform privileged operations. However, the existing user privilege elevation mechanism only supports elevation to root, so the administrator decentralized operating system can not distinguish between elevations of different administrator privileges, so that the users can not handle the appropriate management operations. This paper designs an administrator decentralized user privilege elevation mechanism on the basis of customizing SELinux policy to decentralize administrator and authenticate users according to privilege requirements of different applications. Only authenticated users can elevate to the specified administrator privileges. The mechanism adopts DBus to isolate ordinary users and administrator and secures the user privilege elevation service with SELinux policy. Experimental result shows that ordinary users can effectively elevate their privileges to the specific administrator' s with the support of this mechanism.
关 键 词:操作系统安全 特权提升 管理员分权 最小特权 强制访问控制
分 类 号:TP309[自动化与计算机技术—计算机系统结构]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.3