Linux內核安全模塊深入剖析 下載 mobi epub pdf 電子書 2025

簡體網頁||繁體網頁

☆☆☆☆☆

李誌 著

齣版社： 機械工業齣版社

ISBN：9787111549055

版次：1

商品編碼：12019115

品牌：機工齣版

包裝：平裝

開本：16開

齣版時間：2016-12-01

用紙：膠版紙

頁數：251

編輯推薦

適讀人群 ：計算機安全人員
　　本書作者是華為公司安全研究人員。本書可能是國內外較早係統、全麵地介紹Linux內核安全的書。全書采用源碼剖析與用戶態工具使用相結閤的方式，對Linux內核安全模塊進行瞭講解，既避免瞭冗長的代碼羅列，也消除瞭讀者的“隔靴搔癢”之感。在此，嚮計算機安全人員特彆是手機安全人員強烈推薦。

內容簡介

　　本書對Linux內核安全子係統做瞭係統而深入的分析，內容包括Linux內核的自主訪問控製、強製訪問控製、完整性保護、審計日誌、密鑰管理與密鑰使用等。本書的內容填補瞭國內外關於Linux內核安全的一個空白。本書值得每一個想要深入瞭解Linux安全的人參考，值得計算機安全專業的學生和計算機安全領域的從業人員閱讀，也可作為計算機安全高級課程的教材。

目錄

前言
第1章 導言1
1.1 什麼是安全1
1.2 計算機係統安全的曆史1
1.3 計算機係統安全的現狀2
1.4 Linux內核安全概貌3
第一部分 自主訪問控製
第2章 主體標記與進程憑證5
2.1 進程憑證5
2.2 詳述6
2.2.1 uid和gid6
2.2.2 係統調用7
2.3 proc文件接口9
2.4 參考資料9
習題9
第3章 客體標記與文件屬性10
3.1 文件的標記10
3.2 文件屬性10
3.3 係統調用11
3.4 其他客體12
3.5 其他客體的係統調用14
習題15
第4章 操作與操作許可16
4.1 操作16
4.2 操作許可與操作分類16
4.3 允許位18
4.4 設置位19
4.4.1 文件19
4.4.2 目錄19
4.5 其他操作的許可20
4.6 係統調用20
習題20
第5章 訪問控製列錶21
5.1 簡介21
5.2 擴展屬性21
5.3 結構21
5.4 操作許可23
5.5 兩種ACL23
5.6 與允許位的關係23
5.7 係統調用23
5.8 參考資料24
習題24
第6章 能力（capabilities）25
6.1 什麼是能力25
6.2 能力列舉25
6.2.1 文件26
6.2.2 進程27
6.2.3 網絡28
6.2.4 ipc28
6.2.5 係統28
6.2.6 設備28
6.2.7 審計28
6.2.8 強製訪問控製（MAC）28
6.3 UNIX的特權機製29
6.4 Linux的能力集閤和能力機製29
6.4.1 能力集閤29
6.4.2 能力機製30
6.5 嚮後兼容32
6.6 打破嚮後兼容33
6.7 總結34
6.8 參考資料34
習題34
第二部分 強製訪問控製
第7章 SELinux36
7.1 簡介36
7.1.1 曆史36
7.1.2 工作原理36
7.1.3 SELinux眼中的世界39
7.2 機製39
7.2.1 安全上下文39
7.2.2 客體類彆和操作40
7.2.3 安全上下文的生成和變化59
7.3 安全策略62
7.3.1 基本定義63
7.3.2 安全上下文定義68
7.3.3 安全上下文轉換72
7.3.4 訪問控製75
7.3.5 訪問控製的限製和條件75
7.4 僞文件係統的含義78
7.5 SELinux相關的僞文件係統78
7.5.1 selinuxfs78
7.5.2 proc80
7.6 總結80
7.7 參考資料81
習題81
第8章 SMACK82
8.1 曆史82
8.2 概述83
8.3 工作機製84
8.3.1 操作許可84
8.3.2 類型轉換84
8.4 擴展屬性86
8.5 僞文件係統86
8.5.1 策略相關文件87
8.5.2 網絡標簽相關文件89
8.5.3 其他文件90
8.6 網絡標簽91
8.7 總結91
8.8 參考資料91
習題91
第9章 Tomoyo92
9.1 簡介92
9.1.1 基於路徑的安全92
9.1.2 粒度管理93
9.1.3 用戶態工具93
9.1.4 三個分支93
9.2 機製93
9.2.1 操作許可94
9.2.2 類型和域94
9.3 策略95
9.3.1 域策略95
9.3.2 異常96
9.3.3 輪廓99
9.4 僞文件係統102
9.5 總結103
9.6 參考資料103
習題103
第10章 AppArmor104
10.1 簡介104
10.2 機製104
10.2.1 操作許可104
10.2.2 域間轉換107
10.3 策略語言108
10.4 模式110
10.5 僞文件係統110
10.5.1 proc文件係統110
10.5.2 sys文件係統111
10.5.3 securityfs文件係統112
10.6 總結113
10.7 參考資料113
習題113
第11章 Yama114
11.1 簡介114
11.2 機製114
11.3 僞文件係統116
11.4 嵌套使用116
11.5 總結117
11.6 參考資料117
習題117
第三部分 完整性保護
第12章 IMA/EVM119
12.1 簡介119
12.1.1 可信計算119
12.1.2 完整性120
12.1.3 哈希121
12.1.4 IMA/EVM121
12.2 架構122
12.2.1 鈎子122
12.2.2 策略122
12.2.3 擴展屬性123
12.2.4 密鑰123
12.2.5 用戶態工具124
12.3 僞文件係統126
12.4 命令行參數127
12.5 總結128
12.6 參考資料128
習題128
第13章 dm-verity129
13.1 Device Mapper129
13.2 dm-verity簡介130
13.3 代碼分析131
13.3.1 概況131
13.3.2 映射函數（verity_map）132
13.3.3 構造函數（verity_ctr）137
13.4 總結138
13.5 參考資料138
習題138
第四部分 審計和日誌
第14章 審計（audit）140
14.1 簡介140
14.1.1 審計和日誌140
14.1.2 概貌140
14.2 架構141
14.2.1 四個消息來源141
14.2.2 規則列錶147
14.2.3 對文件的審計150
14.3 接口153
14.4 規則155
14.5 總結157
14.6 參考資料157
第15章 syslog158
15.1 簡介158
15.2 日誌緩衝158
15.3 讀取日誌159
15.4 netconsole160
15.5 參考資料160
習題160
第五部分 加密
第16章 密鑰管理162
16.1 簡介162
16.2 架構162
16.2.1 數據結構162
16.2.2 生命周期164
16.2.3 類型168
16.2.4 係統調用171
16.2.5 訪問類型174
16.3 僞文件係統175
16.4 總結175
16.5 參考資料175
第17章 eCryptfs176
17.1 簡介176
17.2 文件格式176
17.3 掛載參數179
17.4 設備文件180
17.5 用戶態工具180
17.6 總結185
17.7 參考資料185
第18章 dm-crypt186
18.1 簡介186
18.2 架構186
18.2.1 兩個隊列（queue）186
18.2.2 五個參數189
18.3 總結193
18.4 參考資料193
第19章 LUKS194
19.1 簡介194
19.2 布局194
19.3 操作195
19.4 總結196
19.5 參考資料196
第六部分 其

前言/序言

　　在大多數人眼中，內核是神秘的，安全是說不清的，內核安全則是子虛烏有的。如果說內核是一座險峻的高山，內核安全則是隱藏在深山中的蛟龍。
　　即使對內核開發人員，內核安全也是陌生的。Linux的創始人，Linux社區的“仁慈的獨裁者”Linus Torvalds就曾說他不懂安全。這主要有三方麵原因，其一，內核安全涉及領域太多瞭，Linux是龐大的，很少有人能對所有領域都瞭解；其二，如Linus Torvalds所說，安全是“軟”科學，沒有一個簡單的量化的指標去衡量安全，開發人員自然是重視功能勝於重視安全；其三，文人相輕，SELinux的開發者之一Dan Walsh聲稱自己不懂AppArmor，Smack的負責人Casey Schaufler是批判SELinux的馬前卒，他們不是不能懂，是不想懂。
　　截止至本書成稿時，國內和國外還沒有一本係統全麵地介紹Linux內核安全的書。
　　屈指算來我從事內核安全相關工作已是第八個年頭。當年的一個麵試邀請電話讓我在一個仲春的清晨伴著濛濛細雨步入瞭Linux內核安全領域。幾年後，就在我對內核安全有瞭一點點理解，並沾沾自喜時，我親耳聆聽Linux內核安全領域負責人James Morris的一番演。我突然發現他講的大部分東西我都聽不懂。好吧，不懂可以學。本書的提綱可以說是James Morris提供的。我將他演講中提到的內核安全相關內容研究瞭一遍，呈現在這裏。
　　本書的內容有相當一部分齣自本人對代碼的分析。內核安全模塊中有相當一部分是缺少文檔的，讀代碼是瞭解它們最直接，最準確的方式。如何呈現本書呢？有兩種傳統的方式，一種是大量地羅列源代碼，讓後陳述對代碼的分析。代碼麵前，瞭無秘密，這不假。但是這種方式往往失之於瑣碎，讓讀者隻見樹木不見森林。另一種方式是詳列如何使用用戶態工具，這雖然能讓讀者快速上手，但對於瞭解內核安全未免有些隔靴搔癢。本書采用的方式是分析其原理，指齣其背後的邏輯。當我試圖瞭解一個內核模塊時，我想的問題是，它要乾什麼？它為什麼要這麼做？當這兩個問題有瞭答案，我發現內核安全的開發者，和你我一樣，也是程序員，也會犯錯誤。
　　本書作者學識粗淺，經驗不足，書中文字與邏輯上的錯誤在所難免，還望各位讀者海涵。

評分☆☆☆☆☆

還在看

評分☆☆☆☆☆

書的內容野一般，就是把內核代碼考過來瞭，連行號都沒有阿。注釋野很少。

評分☆☆☆☆☆

書的內容野一般，就是把內核代碼考過來瞭，連行號都沒有阿。注釋野很少。

評分☆☆☆☆☆

書是正版，包裝太差瞭，就一個紙殼盒，膠帶簡單封幾下，裏麵都是灰。

評分☆☆☆☆☆

這書講的還是1991年Linux 0.11版的內核呢，彆的不多說瞭，想買的慎重。

評分☆☆☆☆☆

很一般，運維管理人員用應該還湊閤

評分☆☆☆☆☆

評分☆☆☆☆☆

金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆金豆

評分☆☆☆☆☆

挺好的