Medusa DS9

Медуза DS9 это приложение используется для повышения безопасности Linux. Он состоит из двух основных частей, изменения ядра Linux и пользовательского пространства демона.
Вкратце, он поддерживает, на уровне ядра, сервер пространства пользователя разрешение (и, таким образом, полностью прозрачна для любых пользовательских приложений). Перед выполнением определенных операций, ядро ​​запрашивает сервер авторизации для подтверждения. Затем сервер авторизации разрешает или отвергает операцию.
Сервер авторизации также могут повлиять на то, операция выполняется в некоторых случаях, описанных ниже. Этот метод позволяет использовать практически любой архитектуры безопасности. Когда сервер авторизации настроен должным образом, он может определить права доступа в системе с очень тонкой уровне и сделать очень хорошую аудит.
В настоящее время, Медуза состоит из двух основных частей: небольшой участок в ядре Linux и пользовательским пространством безопасности демона под названием "Констебль". Констебль является текущая реализация сервера авторизации. Реализация пользовательского пространства позволяет изменения в ядре быть проще и меньше и, следовательно, легче переносить на новые версии ядра Linux и быть более гибким, так что улучшения в сервер авторизации не требует изменений в ядре.
Связь между ядром и констебль проходит через специальное устройство "/ DEV / медуза" (символ основным 111 незначительного 0), потому что это должно быть быстрым и гибким. Когда подтверждение потребности ядра, пишет данные в этом устройстве, делает текущий процесс сна и просыпается констебль. Констебль считывает данные из / Dev / медуза, выбирает ответ (в зависимости от его конфигурации, которая обсуждается в Doc / констебль), отправляет его обратно в ядро ​​и спит.
Ядро получает данные, будит процесс и определить результат операции. Констебль также можете отправить некоторые команды для ядра (даже если ядро ​​не требует их), которые затем выполняется ядром. Демон безопасности должен использовать определенный протокол связи, определенный в ядре, так что это можно реализовать полнофункциональную сервер авторизации, только зная этот протокол и, зная, что ядро ​​поддерживает его, не беспокоясь, что на самом деле происходит в ядре.
Полиции является только одним примером такого сервера авторизации. Протокол обеспечивает связь в виде пакетов, которые несут всю необходимую информацию.