原文:eLinux.org
翻译:@lzz5235
校订:@lzufalcon
强制访问控制(MAC)方案比较
本文主要包含强制访问控制(MAC)解决方案的信息,这些信息是 CE Linux 论坛成员所感兴趣的。因为 MAC 面向 CE 设备提供强大的访问控制,同时这些 CE 设备需要管理丰富的资源。
目录
强制访问控制方案的比较
| _ | LIDS | TOMOYO | RSBAC | SELinux | App Armor |
|---|---|---|---|---|---|
| 安全模型 | MAC(inode), TPE(1.2),TDE(1.2) | MAC(path) | MAC, RC, ACL, FF, UM, PM, DAZ, JAIL | MAC(label), TE,RBAC,MLC,MCS | MAC(path) |
| 类型 | LSM (2.6), patch (2.4) | patch | patch | LSM | LSM |
| 当前版本 (2.6) | 2.2.2 版本对应 Kernel 2.6.14 (LSM) | 1.1.3 版本对应 Kernel 2.6.11-17 | 1.2.7 版本对应 Kernel 2.6.16 | 在主线内核中 | 2.6.X (LSM) |
| 当前版本 (2.4) | 1.2.2 版本对应 Kernel 2.4.30 | 1.1.3 版本对应 Kernel 2.4.20 - 32 | 1.2.7 版本对应 Kernel 2.4.32 | 被废弃 | ? |
| 策略学习模式 | /lids/lids.ini | CCS=0 /root/security/profile0.txt | /etc/selinux/config | rsbac_softmode | |
| 被禁止的选项 | lids=0 | selinux=0 | |||
| 策略文件位置 | /etc/lids/ | /root/security/ | ? | /etc/selinux | ? |
| 发行版 | Hardened Gentoo | Redhat, Fedora Core, Hardened Gentoo | Open Suse | ||
| (by 3rd party) | Fedora core, Debian | Fedora core, Debian | Debian | Suse, Ubuntu | Slackware |
基准测试
硬件配置:
| 项目 | 配置 |
|---|---|
| 硬件 | Sharp Zaurus C860 |
| CPU | XScale 400MHz, |
| 内存 | --MB |
| OS | Openzaurus 3.5.4.1 + OPIE 1.2 |
文件大小
Kernel 2.6.16 (linux-openzaurus-2.6.16-r40, 静态编译)
| Normal | LIDS | TOMOYO | RSBAC | SELinux | |
| Kernel镜像大小 (Image) | 2487744 | 2554880 | 2541808 | 2974224 | ? |
| Kernel镜像大小 (zImage) | 1181660 | 1205324 | 1207288 | 1351432 | ? |
| 镜像大小开销 | 0 | 67136 | 54064 | 486480 | ? |
| 策略大小 | 0 | ||||
| 内存消耗 | 0 |
Lmbench
处理器, 进程, 本地通信延迟
| Normal | LIDS | TOMOYO | RSBAC | SELinux | |
| null call | 0.46 | 0.46 | 0.46 | ||
| null I/O | 1.77 | 1.97 (11%) | 1.77 | ||
| stat | 12.7 | 15.7 (24%) | 12.8 (1%) | ||
| open/close | 18.7 | 22.5 (20%) | 59 (216%) | ||
| select TCP | 91.3 | 91.6 | 91.3 | ||
| sig inst | 2.89 | 2.83 (-2%) | 2.84 (-2%) | ||
| sig hndl | 7.58 | 7.66 (1%) | 9.25 (22%) | ||
| fork | 3795 | 3808 | 3757 (-1%) | ||
| execve | 13000 | 13000 | 15000 (15%) | ||
| sh | 36000 | 37000 (3%) | 41000 (14%) | ||
| ctxsw | 175 | 186.3 (7%) | 177.2 | ||
| pipe | 356.9 | 375.6 (5%) | 358.1 | ||
| AF_UNIX | 674 | 718 (7%) | 723 (7%) | ||
| UDP | 747.5 | 776.3 (4%) | 765.1 (2%) | ||
| RPC/UDP | 969.1 | 1013 (5%) | 1193 (23%) | ||
| TCP | 957.3 | 1004 (5%) | 964.6 (1%) | ||
| RPC/TCP | 1332 | 1380 (4%) | 1353 (2%) | ||
| TCP 连接 | 2302 | 2379 (3%) | 2357 (2%) | ||
| 0KB 创建 | 461 | 605.7 (31%) | 669.8 (45%) | ||
| 0KB 删除 | 232.5 | 267.1 (15%) | 329.5 (42%) | ||
| 10KB 创建 | 5128.2 | 5234.6 (2%) | 5235.6 (2%) | ||
| 10KB 删除 | 298.8 | 349.8 (17%) | 415.1 (39%) | ||
| Mmap 延迟 | - | - | - | ||
| Prot 故障 | 1.72 | 1.71 | 0.61 (-64%) | ||
| 页面故障 | 92 | 92 | 86 (-7%) |
Unixbench
| Normal | LIDS | TOMOYO | RSBAC | SELinux | |
| execl | 89.3 lps | 84.6 | 59.5 | ||
| 文件读 1KB | 53974.0 KBps | 52176 | 53505 | ||
| 文件写 1KB | 328.0 KBps | 321 | 376 | ||
| 文件拷贝 1KB | 288.0 KBps | 199 | 311 | ||
| 文件读 256B | 34766.0 KBps | 33831 | 34742 | ||
| 文件写 256B | 133.0 KBps | 121 | 138 | ||
| 文件拷贝 256B | 126.0 KBps | 121 | 121 | ||
| 文件读 4KB | 69148.0 KBps | 67961 | 68851 | ||
| 文件写 4KB | 1417.0 KBps | 1417 | 1333 | ||
| 文件拷贝 4KB | 1268.0 KBps | 1237 | 1249 | ||
| 管道 | 112917.5 lps | 108924 | 112137 | ||
| 管道切换 | 2655.4 lps | 2559.6 | 2700 | ||
| 进程创建 | 272.9 lps | 367.8 | 276.4 | ||
| 系统调用 | 269446.2 lps | 267748 | 268823.9 | ||
| shell 脚本 (1) | 82.2 lpm | 77.6 | 58.6 | ||
| shell 脚本 (8) | 5.3 lpm | 5.6 | 5.4 | ||
| shell 脚本 (16) | 2.0 lpm | 0 | 2 |
总结
| LIDS | TOMOYO | RSBAC | SELinux | App Armor | |
| 构建 (kenrel) (简单 : 5 - 1 : 困难) | 4 | 4 | 3 | 5 | ? |
| 构建 (userland) (简单 : 5 - 1 : 困难) | 4 | 4 | 3 | ? | ? |
| 镜像大小 | 2% | 2% | 15% | 3% | ? |
| 性能 | ? | ||||
| 策略精益模式 (好:5 - 1:差) | 4 | 5 | ? | 3 | ? |
| 符号链接 | 被封装 | 支持别名机制 | ? | ||
| JFFS2 文件系统 | 支持 | 支持 | 未知 |
其他资源
访问控制对比表格 http://gentoo-wiki.com/Access_Control_Comparison_Table
目录:
书籍推荐
