Принципы идентификации TSF

В то время как аппаратные средства и встроенное микропрограммное обеспечение  — часть исследуемой системы, их не рассматривают как ПО, реализующее интерфейсы TSF. Однако сама операционная система Linux, с другой стороны, действительно предоставляет интерфейсы TSF.

Операционная система Linux распространяется как набор программных пакетов. Пакет может включать программы, конфигурационные данные и сопроводительную документацию. Анализ выполняется на уровне файла, за исключением случаев, когда определенный пакет может рассматриваться как единое целое.

Файл может быть включен в TSF как следствие одной или нескольких из следующих причин:

• Он содержит код, такой как ядро, модуль ядра и драйверы устройств, который работает в привилегированном аппаратном состоянии процессора.
• Он относится к реализации политики безопасности системы.
• Он предоставляет разрешение на SUID или SGID привилегированному пользователю (например, учетной записи root) или группе пользователей.
• Он предоставляет одну или несколько возможностей переопределить установленные системой правила безопасности для пользователя, осуществляющего вызов.
• Он запущен как демон, выполняющийся с полномочиями пользователя root или с системным UID / GID (например, процесс, запущенный как /etc/rc.d/init.d).
• Он представляет собой программное обеспечение, которое должно функционировать определенным образом, чтобы поддерживать механизмы безопасности системы.
• Он требуется для выполнения функций системного администрирования.
• В его состав входят данные TSF или конфигурационные файлы.
• В его состав входят библиотеки, связанные с программами TSF.
• Он запущен как приложение с полномочиями, отличными от полномочий вызвавшего его пользователя; например, с использованием таких механизмов как udev, PolicyKit, modprobe, или даже ядра.
• Он предоставляет одну или более возможностей переопределения MLS для вызвавшего его пользователя.

Есть различие между ПО, не относящимся к TSF, выполняемым в непривилегированном режиме, которое может загружаться и выполняться в системе, и программным обеспечением, которое должно быть исключено из системы. Чтобы удостовериться, что опасное программное обеспечение не может быть использовано для нарушения политики безопасности системы, используются следующие методы проверки:

• Добавление модулей ядра не разрешено.
• Устанавливаемое программное обеспечение может изменить конфигурацию (например, биты режима) таким образом, чтобы программа не могла нарушить политику безопасности.
• Добавление программ с включенным битом SUID с UID пользователя root или системным UID.
• Добавление программ с включенным битом SGID с GUID пользователя root или системным GUID.
• Дополнение битов, отвечающих за возможности программ, включено.
• Добавление демонов, выполняющихся под учетной записью root или системным UID / GID.
• Изменения набора правил для платформ, которые позволяют порождать процессы с различными полномочиями, такими как udev или PolicyKit.
• Добавление программ с возможностями переопределения MLS.