从蓝瘦“想哭”到 SELinux 看操作系统安全何在

首先，让我们先简要回顾一下主角“想哭”病毒的前世今生。
“想哭”病毒是基于网络攻击框架二次开发的结果，它利用了NSA（美国国家安全局）的前辈们留下的非物质文化遗产：永恒之蓝（ETERNAL BLUE） 模块，针对Windows SMB服务的实现漏洞植入恶意代码，再结合自己的创新：加密用户文件和显示勒索声明，一代网红勒索病毒由此诞生。从病毒本身的设计流程来看，似乎并不需要高深的编码技巧或深厚的理论根基，然而这也恰恰是这一事件中最值得我们警惕的地方：NSA泄漏的攻击模块远不止永恒之蓝一种，借助已有攻击框架进行二次开发的难度又如此之低，所以，可以预期，一大波未知的病毒正在来袭的路上。
是不是细思极恐？所谓“知彼知己，百战不殆”，要想不die，先要充分了解对手，所以接下来我们进一步了解一下什么是病毒？病毒是如何以危险方式危害公共安全的？又是怎样进入我们的系统的？
病毒是什么，其实是老生常谈了，经常关注医疗卫生领域的朋友都知道：
病毒由一段基因与蛋白质构成，自身不能实现新陈代谢，通过适当的途径侵入宿主体内，通过宿主细胞的代谢系统实现复制传播。
跑题了？好吧，不要在意这些细节，我们改几个字就能用了：
病毒由一段可执行代码与数据构成，自身不能在裸机上运行，通过适当的途径侵入宿主操作系统，通过宿主系统中的存储和网络实现复制传播。
Wirth教授教导我们：
算法+数据结构=程序，病毒=代码+数据=算法+数据结构=程序
没错，病毒就是一类特殊的计算机程序，广义上称为恶意软件。与自然界病毒的最大不同之处在于，它们不是纯天然的，而是100%人工打造。通常它们怀着对人类的深深的恶意来到世上，行为各不相同，有的在你的屏幕上画个圈圈诅咒你，有的会窃取你设备中的隐私照片，还有的会眨眼间转走你银行卡上的购房首付款......显然，它们的目标还是很一致的：危害人类设备，破坏世界和平。
又扯远了，我们接着来看病毒是如何入侵操作系统的。病毒的入侵无外乎两个途径：主动和被动。所谓主动是针对目标系统尝试发起扫描和攻击，一般是远程发起，当发现了自己能吃定的漏洞之后，就通过各种阴险手段（其实技术实现上大多还是很优雅的）攫取系统权限，进而将恶意代码注入宿主系统中伺机作恶，对此没什么概念的小伙伴可以自行脑补一下《异形》中的人类被寄生的过程。
病毒入侵的另一种方式，我们称之为被动方式。这种方式并不需要系统存在漏洞或缺陷，需要的是用户的经验、常识或智商存在缺陷。它们通过各种伪装诱骗用户去打开或运行自己，包括形形色色让你心动的邮件、链接、不明来源的安装程序等等，一旦获得机会运行，它们会悄无声息的在你的系统中安营扎寨、留下多道后门，然后为所欲为，这类病毒又被形象地称为（特洛伊）木马。

了解了病毒的来龙去脉之后，我们就可以开始讨论如何应对各种病毒层出不穷的威胁了。
对于大多数用户，良好的使用习惯是第一位的。堡垒往往从内部被攻克，再安全的操作系统，再强大的安全机制，都难以阻止用户自我毁灭的脚步。良好的使用习惯中最重要的，是安全更新，安全更新，安全更新！为什么呢？这要先谈一下操作系统漏洞的由来。
漏洞实际是软件缺陷的一种，也就是俗称的bug，是由于软件开发人员的疏忽而导致程序没有按照预期的方式运行。软件缺陷多种多样，有些很呆，有些很萌，也并不都会对系统安全构成威胁。那些侥幸逃脱开发和测试人员的轮番围剿，随着软件的发布散落人间的软件缺陷，一旦被黑客们发现、策反，并借助自己在系统内部的有利位置，披着合法软件的外衣，做出送人头、坑队友的恶劣行径时，就成为软件系统的公敌：漏洞。越是庞大和复杂的软件越容易产生漏洞，不幸的是操作系统就是一类极其庞大而复杂的软件系统。
虽然操作系统漏洞常常难以完全避免，然而某个漏洞一旦被发现，开发厂商都会在第一时间发布安全更新对问题进行修复。以这次勒索病毒为例，针对被利用的SMB服务漏洞，事实上早在一个月前微软就公布了漏洞警告和补丁，提供了安全更新，那些开启自动更新并及时修复了漏洞的用户，他们可以用省下的三个比特币吃着火锅唱着歌，完全不用担心绑匪。所以请划重点：操作系统安全更新非常重要，不论个人用户、企业用户还是系统管理员，不论服务器，桌面还是移动终端，不论Windows，Linux还是MacOS，都应该尽可能及时地从操作系统厂商处获取安全更新。
其次，杀毒软件也可以起到一定的安全增强的作用，多数杀毒软件可以借助病毒库对已有病毒的特征进行分析比对，一旦发现用户即将运行的程序中含有病毒或恶意程序，会及时提醒用户，或者自动清除。因此，杀毒软件可以在很大程度上防御已知的、以被动方式入侵系统的病毒。
那么，积极地安全更新、安装杀毒软件就可以解决所有病毒威胁了么？
很不幸，事实并非如此。安全更新和杀毒软件之于病毒威胁正如强身健体之于疾病隐患，可以大幅降低几率，却难以完全避免。为什么？这要从零日（0-day）漏洞说起。
【零日漏洞】，听起来就很霸气的一个名字，仿佛给人一种世界末日的感觉。它并不是指具体的某个或某类漏洞，而是指被黑客发现后立刻用来发起攻击的漏洞，这些漏洞尚未公开，用户不知道，软件厂商也不了解，应对时间为零。所以，这类漏洞没有检测工具，没有修复方法，传统被动升级防御、病毒特征比对的方式毫无用处，一旦被用来发起攻击，普通系统是毫无招架能力的。那么有没有可以防御零日漏洞的安全的操作系统呢？

如果系统对于你家中的资源访问只添加了这一条安全策略，那么你仍然可以安心的在家睡觉，小偷无论用何种方式进入你家都将寸步难行，接触任何东西的行为都会被禁止，并且一切被禁止的行为尝试都将被另一套完善的监控系统：审计日志记录在案。
明白了这个例子，回到操作系统中我们就很容易看懂MAC是如何防范系统带来的安全威胁的：假设我们有一个存在缓冲区溢出漏洞的文件共享服务，与多数系统服务一样使用管理员权限运行。攻击者通过精心构建一个特殊的数据包发送给服务器，使存在漏洞服务器正常的执行流程被劫持，转而执行修改管理员密码的操作。在DAC控制下的传统操作系统中，一旦攻击生效，那么管理员密码会被这个平时八竿子打不着的文件服务器修改，攻击者随后可以很容易的登录进入系统。而在MAC系统中，文件服务器的可访问的文件是严格受限的，安全策略类似于：
允许 系统管理员角色 运行文件服务器 该进程允许访问被共享文件。
安全策略的定义了该服务可以访问的所有资源，攻击者在攻击了文件服务器后，希望修改管理员密码，它需要访问的是SAM或passwd等的密码管理文件，由于文件服务器进程仅被策略仅允许访问需要被共享的文件，因此对密码管理文件的操作将被拒绝，攻击失效。这种情况下最坏的情形是，攻击者可能非法访问共享文件，因为它仍在安全策略允许范围内。尽管如此，一个系统级的安全漏洞对整个操作系统的影响被限制在了非常小的范围内。
通过细粒度的划分访问权限，将所有应用和服务的访问限制在最小范围内，这就是强制访问控制保护系统不受已知及未知漏洞攻击的原理。
其实MAC和DAC并不是水火不容的，在包括SELinux在内的多数安全框架中，它们是共同生效的，所有的资源（或者准确的说叫客体）访问请求首先要经过DAC权限判定，验证通过之后再进一步进行MAC的安全策略判定，只有同时符合自主访问控制和强制访问控制规则后才能获得访问权限。
SELinux中，有三大类MAC策略模型，分别是TE（类型增强），RBAC(角色访问控制)以及MLS(多级别安全)，每一类模型都针对系统已有服务和应用提供了大量安全策略。一个使用了SELinux的典型的服务器操作系统环境，内核中会包含10万条以上的安全策略。

了解了SELinux及其强制访问框架后，看到攻防两端都造诣深厚的NSA，你可能会惊叹于矛尖盾厚的美国在信息安全领域的强大的实力。然而我国在这个陆上有东风，海上有航母，天空有北斗的时代，在信息安全这样重要的领域当然不会碌碌无为。我国很早就对信息安全领域展开了全面的研究，公安部对信息安全的各个领域提出了一系列标准，最早在GB 17859-1999标准中就根据需求将计算机信息系统的安全级别由低到高，划分为1-5共五个等级。在GB/T 20272-2006中更进一步对操作系统安全技术提出了具体要求。
从国标安全第三级开始要***作系统提供强制访问控制，除了要实现SELinux中的各类安全模型架构外，还根据最小特权原则开创性的引入三权分立的概念，将普通操作系统中权限不受控制的管理员根据职责分解为系统管理员，安全管理员，审计管理员三个角色。
系统管理员负责“行政”体系，也就是系统中的配置管理，类似网络配置、服务启停（安全服务除外）、设备管理等等；安全管理员负责“立法”，负责安全策略制定、加载以及安全服务的开启；审计管理员的职责类似“司法”，制定违规访问的记录，安全服务的关闭。三个角色的权限之间互相制约，从而避免了恶意入侵者通过获取管理员权限对操作系统的全面控制。同时标准还对用户数据的私密性、完整性提出了严格的保护要求，要***作系统通过安全标签保障用户数据不被非法读取和篡改。
国标安全四级除了在访问控制和数据保护上提出更为严格要求之外，还要求设计者对操作系统的安全策略模型、安全功能模块进行形式化验证，并进行隐蔽信道分析，对系统抵御攻击能力进行评估，也是目前已有操作系统能达到的最高安全等级。目前普华、凝思等国产操作系统厂商已经开发出了符合国标安全四级的安全操作系统，提供了远高于普通SELinux的底层安全保护。

结语：信息安全是全方位的，尽管病毒与恶意入侵并非只针对操作系统，单一从操作系统层面无法解决所有的安全问题，然而作为所有上层应用的最底层软件支撑，操作系统却在最终执行层面承载着一切上层软件的安全机制，脱离操作系统构建的安全体系，如同沙滩上的城堡，即使再坚固也将最终失去根基。

毒理学有句名言：一切谈毒性不谈剂量的行为都是耍流氓。同样，任何谈操作系统安全不谈体系架构的行为也是耍流氓。所以面对这种耍流氓的行为，接下来我们要严肃的谈一谈操作系统的安全体系架构。