Linux Güvenlik Aracı Vxe

Linux Güvenlik aracı VXE Virtual eXecuting Environment (VXE) superuser haklarıyla çalışan ve hatalar barındırabilen sunucu ve altsistemlerini korur. Bir program superuser haklarıyla çalışırsa işletim sisteminin (OS) tüm kaynaklarına ulaşabilir. VXE, her altsistem için sanal bir ortam oluşturur. Bu ortamda sadece normal işlemler için gerekli olan kaynaklar görünürdür ve altsisteme açıktır. Altsistem, çalıştırılan program ve tarafından üretilen altişlemleri bekler. Her altişlem anası gibi aynı VXE ortamında çalışır. Program, herhangi bir sistem kaynağına ulaşmak için, OS sistem çağrısını (syscalls) kullanır. VXE hangi sistem çağrısının hangi parametreler ile erişebilir olduğunu her altsistem için tanımlayabilir. Örneğin (dosya işlem sistem çağrıları için) dosyaların bazılarının okunabilir ve bazıların yazılabilir olduğu, ağ işlemlerinin kapalı olduğu tanımlanabilir (POP sunucusu örneğinde, ağ bağlantısını kontrol altına alır ama yenilerini yapmaz) ve bu kısıtlamalar superuser hakları ile çalışan bir program tarafından kırılamaz.
Bu sınırlamalar gerektiği kadar keskin olabilir. Eğer davetsiz misafir bir altsistem üzerinde hakimiyeti ele geçirirse bilgiye ulaşmak yada sistemi etkilemek için alışılmış yöntemleri kullanamaz. Teoride yapabileceği tek şey gelişmiş yöntemler kullanarak, ne işletim sistemine ne de diğer altsistemlere , yalnızca ele geçirilmiş altsistemin işlemlerine etkimektir. Burada alışılmış yöntemler devetsiz misafirin superuser haklarına ulaşması ve bir komut ekranı açması (shell), ardından alışılagelmiş araçlarla, metin editörü gibi, bir araç kopyalamak ve gerisi ortada. Bu tür araçlar olmadan hiçbirşey yapamaz. Örneğin bir POP sunucusunun metin editörüne ve bir araca gereksinimi yoktur çalışması için; ki böylece VXE ortamında POPD koruması için böyle bir program yoktur.
Daha belirgin olarak belirtmek gerekirse, VXE ele geçirilmiş altsistemlerin yoklamalarına karşı sistemi ve altsistemlerini korur. Bir bölüm etkilendiği zaman altsistemin kendisini korumasını sağlar (yukarıda anlatıldığı yolla). Basitleştirme amacıyla, aşağıdaki yazıda VXE'nin altsistemi koruduğunu söyleyeceğiz.
VXE tanımı ve hareketliliği

VXE tanımı (VXED) ufak bir LISP (fonksiyonlar dizisi) programı olup farklı sistem çağrıları için kabul edilebilir bildirge niteliğinde parametre tanımları kullanır. Bu VXED belirli altsistemler için sistem çağrı parametrelerini kontrol ettiği çekirdeğe yüklüdür. RefLisp (Bill Birch WeBCaNaVaRi'na Üye Olmadan Link'leri ve Kod'ları Göremezsiniz.
Link'leri Görebilmek İçin. Üye Ol. veya Giriş Yap.
) tarafından türetilen VXE'nin güncel sürümü vxelisp, yeni iç büyük dizi tanımlamasına (internal bigstring representation), tam dizi ve bit fonksiyonlarına (full set of string and bit functions) sahiptir. vxelisp'in çekirdek sürümü aynı anda farklı VXED leri desteklemek için yeniden yapılandırılmıştır.
VXED'yi aktif hale getirmenin iki yolu vardır. Belirgin (explicit) ve örtük (implicit)(otomatik). Belirgin aktifleştirme vxe programı kullanarak yapılır. Parametreler, sınırlamalarla beraber çalışacak olan komut yol ve parametreleri, ve de VXED yoltanımıdır (pathname). Otomatik yükleme için vxed aracı tüm gerekli VXED'leri çekirdeğe baştan yükler. Her VXED'nin bir aktifleşme modeli vardır. Program başlangıcından (exec) itibaren çekirdek, çalıştırılabilir dosyaların yollarını şablonlara ve aktif VXED'lere karşı kontrol eder. Bu yöntem belirli bir dizin (ve tüm altdizinler) altındaki tüm programlarından çalıştırılması esnasında korumayı aktifleştirme için kullanılabilir. Örneğin kullanıcılar tarafından kullanılan CGI betiklerini (scripts) korumak amacıyla her bir kullanıcı altdizinine VXED tanımlanabilir.
VXE Geliştirme Sistemi

Her bir VXED, vxelisp'in gücü kullanılarak elle yaratılabilir. Fakat VXE, sistem yöneticilerini LISP'i öğrenmeye ve kullanmaya zorlamaz. VXE geliştirme sistemi, VXE'yi izleme düzeninde çalıştırır.
Bu gibi bir uygulama çalışması, izin verilen (kullanılan) sistem cağrılarının tanımlarını yazdırır. VXED'nin yaratılması ve değişiklikler WWW arayüzü ile yapılmaktadır. Geliştirme sistemi iki çeşit VXED desteklemektedir; Sıkı ve Dosya sistemi. Sıkı VXED, tüm izin verilen belirgin sistem çağrılarını tanımlar. VXED dosya sistemi tanımlanmış bir yolun okuma, yazma ve çalıştırma haklarını tanımlar. Dosya sistemi sistem çağrılarına uygulanan özel sınırlamalara diğer sistem çağrılarında izin verilmiştir. Belli bir altsistem için oluşturulduktan sonra VXED, kendi halinde çalışır. Bu durumda tüm uyumsuz VXED işlemleri kaydedilir, sistem çağrıları yerlerine getirilir. VXE DS, tutulan kayıtlardan VXED'yi otomatik olarak güncelleyebilir.
Elbette VXED'de gerekli değişiklikler elle de yapılabilir. Uyumsuzluklar, davetsiz bir misafirin çalışması yada altsistem davranışlarında ki sapmanın birçok koşulu ile oluşabilir. VXE yöneticileri DS yardımı ile kayıtlara bakarlar ve bir güncelleme gerekiyorsa buna karar verirler. Eğer bir uyumsuzluk yoksa, üretim konumuna geçirilir. Bu durumda tüm uyumsuzluklar kaydedilir ve sistem çağrıları engellenir. Kayıtlar aynı şekilde davetsiz misafirlerin belirlenmesi yada VXED ayarlanması için kullanılabilir.
Güvenlik sebepleriyle, VXE üzerindeki tüm işlemler en yetkili kullanıcı (superuser) tarafından, tüm VXE'lerin dışından yapılabilir.
Verim

VXE verimi şu yollarla etkiler: Eğer program VXE'lerin dışında çalışıyorsa tüm küçük sistem çağrıları fazladan iki öğretici assembler çalıştırır (VXE mevcut işlemi etkiliyor mu diye kontrol eder). Her sistem çağrısı çalıştırılışında küçük bir C döngüsü çekirdekte uyuşan bir VXED var mı diye kontrol eder. VXE içerisinde çalışan programlar için bir kaç satırlık bir C kodu, parametre ayarlaması gerekli mi diye kontrol eder. Bazı sistem çağrıları VXED içerisinde kontrol edilemez olarak işaretlenir (örneğin önkabul olarak okuma ve yazma işlemleri) ve sadece geriye kalan sistem çağrıları çok küçük LISP fonksiyonları tarafından kontrol edilir. Bu fonksiyonlar VXED içerinde bulunurlar ve sistem yöneticisi tarafından kolaylıkla incelenebilirler.

Çeviri : İnanç Özçubukçu

Not: ALINTIDIR!

Benzer Konular
	Konu Başlığı	Başlatan	Yanıtlar	Görüntü	Son Mesaj
	Tam Bir Masaüstü Aracı(türkler Yaptı[800 Kb]) « 1 2 » Program Anlatımları	By.CeZa	12	3614	Ocak 11, 2009, 10:41:37 ÖÖ Gönderen : By.TuRuT
	Bilgisayar Optimizasyon Aracı Pro A B C D E	Crayz_Ghost	5	1937	Şubat 07, 2014, 05:44:55 ÖÖ Gönderen : servet61
	Rus Uzay Aracı Düştü! Bilim - Teknoloji ve Bilim Adamları	\|\|TeXaS\|\|	0	558	Ocak 17, 2012, 01:22:27 ÖÖ Gönderen : \|\|TeXaS\|\|
	Beni Dolandırıcılığa Aracı Ettiniz Televizyon & Radyo & Magazin	Bendis	0	508	Ağustos 28, 2014, 03:44:59 ÖS Gönderen : Bendis
	Foursquare'den Lokasyon Bazlı Reklam Aracı: Pinpoint Network ve İnternet	-minel-	0	646	Nisan 21, 2015, 10:21:19 ÖS Gönderen : -minel-