Linux Security Modules

Linux Security Modules (LSM) — це фреймворк^[1], що надає ядру Linux підтримку кількох різних моделей безпеки. Починаючи з версії ядра 2.6 LMS є його частиною, фреймворк ліцензований відповідно до умов GNU General Public License.^[2]

У офіційному ядрі^{[якому?]} підтримуються AppArmor, SELinux, Smack^[en] і TOMOYO Linux^[en]. Версія ядра Linux 5.4, що вийшла у грудні 2019 року, додала підтримку механізму «kernel lockdown».^[3]

LSM використовується для надання модулям безпеки механізмів контролю доступу до об'єктів ядра. Технічно, архітектура LSM являє собою набір вбудованих у ядро хуків (англ. hooks), які викликаються перед зверненням до внутрішнього об'єкту, для того, щоб надати LSM можливість забезпечити свою політику управління доступом.

Модулі працюють паралельно із рідною моделлю безпеки Linux − DAC (англ. Discretionary Access Control). Перевірки LSM викликаються на дії, що дозволені DAC.^[4]

Джерела

↑ Linux Security Module Framework. — 2002. Архівовано з джерела 6 листопада 2015. Процитовано 15 грудня 2014.
↑ Linux Security Module Usage. www.kernel.org (англ.). Архів оригіналу за 29 березня 2020. Процитовано 19 лютого 2020.
↑ Cook, Kees (18 лютого 2020). Security things in Linux v5.4 (англ.). Архів оригіналу за 19 лютого 2020. Процитовано 19 лютого 2020.
↑ Overview of Linux Kernel Security Features (англ.). 11 липня 2013. Архів оригіналу за 16 грудня 2014. Процитовано 28 жовтня 2019.

Ядро Linux

Організація

Ядро	Linux Foundation Linux Mark Institute закон Лінуса суперечка Таненбаума та Торвальдса Tux конфлікт з SCO Linaro GNU GPL v2 menuconfig Supported computer architectures Kernel names Criticism

Підтримка	Розробники The Linux Programming Interface kernel.org LKML Linux conferences Користувачі Linux User Group (LUG)

Реалізація

Debugging

CRIU
ftrace
kdump
Linux kernel oops
SystemTap
BPF

Завантаження

vmlinux
System.map
dracut
initrd
initramfs

ABIs

Linux Standard Base
x32 ABI

APIs

Kernel

System Call Interface	POSIX ioctl select open read close sync … Linux-only futex epoll splice dnotify inotify readahead …

In-kernel	ALSA Crypto API io uring DRM kernfs Бар'єр пам'яті New API RCU Video4Linux IIO

Userspace

Демони, Файлові системи	devfs devpts debugfs FUSE procfs sysfs systemd udev Kmscon

Бібліотеки- обгортки	Стандартна бібліотека мови C glibc uClibc Bionic libhybris dietlibc EGLIBC klibc musl Newlib libcgroup libdrm libalsa libevdev libusb liburing

Компоненти

модулі ядра
BlueZ
cgroups
консоль
bcache
Device mapper
dm-cache
dm-crypt
DRM
EDAC
evdev
Kernel same-page merging (KSM)
LIO
Framebuffer
LVM
KMS driver
Netfilter
Netlink
nftables
Network scheduler
perf
SLUB
zram
zswap

Process and I/O schedulers:
O(n) scheduler
O(1) scheduler
Completely Fair Scheduler (CFS)
Brain Fuck Scheduler
Noop scheduler
SCHED_DEADLINE

Security Modules: AppArmor
Exec Shield
seccomp
SELinux
Smack
Tomoyo Linux
Linux PAM

Драйвери
- 802.11
- graphics
Raw device

initramfs
KernelCare
kexec
kGraft
kpatch
Ksplice

Variants

Mainline
- ядро Linux
- Linux-libre
High-performance computing
- INK
- Compute Node Linux
- SLURM
система реального часу
- RTLinux
- RTAI
- Xenomai
- Carrier Grade Linux
MMU-less
- μClinux
- PSXLinux

Віртуалізація	Гіпервізор KVM Xen Віртуалізація ОС Linux-VServer Lguest LXC OpenVZ інші L4Linux ELinOS User-mode Linux MkLinux coLinux

Adoption

Range of use	Desktop Embedded Gaming Тонкий клієнт: LTSP Сервер: LAMP LYME-LYCE Devices

Adopters	List of Linux adopters GENIVI Alliance