LSM框架原理解析

一、基本原理

• LSM框架的产生是为了提高Linux内核的安全性&＃xff0c;其通过在内核中代码中设置一系列的hook函数点&＃xff0c;在进行系统调用前进行相关函数的check&＃xff0c;比如在sys_read系统调用中的hook函数为file_permission,进程产生中的hook函数为task_alloc。
• hook函数的作用,如下图所示&＃xff0c;在DAC检查完之后&＃xff0c;进行hook函数调用&＃xff0c;进行自定义的权限的检查。
  

二、实现原理

1. 在内核源码中静态插桩&＃xff08;以sys_clone为例&＃xff0c;其函数调用链如下&＃xff09;

• sys_clone
  

• do_fork
  

• _do_fork
  

• copy_process
  

• 最终在进程创建之前&＃xff0c;会进security_task_alloc函数进行检查&＃xff0c;检查无误才会继续创建进程&＃xff0c;否则会终止&＃xff01;