# Введение в Linux security modules

Система безопасности основана на дополнительном хуке (LSM hook) при вызове системных (ядерных) функций. Система модульная, и SELinux - один из модулей, который предоставляет функции безопасности. DAC система находится ниже. Стек вызовов функции:

[![se_high_overwiew.JPG](http://bobrobotirk.ru/uploads/images/gallery/2025-08/scaled-1680-/se-high-overwiew.JPG)](http://bobrobotirk.ru/uploads/images/gallery/2025-08/se-high-overwiew.JPG)

LSM hook не предоставляет функций безопасности - это просто хук. Далее идет вызов зарегистрированного модуля(ей) LSM Framework. В LSM Framework можно зарегистрировать один эксклюзивный модуль и неэксклюзивные.

<table id="bkmrk-%D0%9C%D0%BE%D0%B4%D1%83%D0%BB%D1%8C-%D0%9E%D1%81%D0%BE%D0%B1%D0%B5%D0%BD%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%93" style="width: 111.429%;"><thead><tr><th style="width: 23.1228%;">Модуль</th><th style="width: 33.0246%;">Особенности</th><th style="width: 35.271%;">Где используется</th><th style="width: 8.46246%;">Тип</th></tr></thead><tbody><tr><td style="width: 23.1228%;">**SELinux**</td><td style="width: 33.0246%;">Метки безопасности (label-based), очень гибкая и строгая политика</td><td style="width: 35.271%;">RHEL, Fedora, CentOS, Android</td><td style="width: 8.46246%;">Экск.</td></tr><tr><td style="width: 23.1228%;">**AppArmor**</td><td style="width: 33.0246%;">Основан на путях (path-based), проще в настройке</td><td style="width: 35.271%;">Ubuntu, Debian, openSUSE</td><td style="width: 8.46246%;">Экск.</td></tr><tr><td style="width: 23.1228%;">**Smack (Simplified Mandatory Access Control Kernel)**</td><td style="width: 33.0246%;">Проще, чем SELinux, тоже использует метки, но менее гибкий</td><td style="width: 35.271%;">Встроенные системы (Tizen, некоторые IoT-устройства)</td><td style="width: 8.46246%;">Экск.</td></tr><tr><td style="width: 23.1228%;">**TOMOYO Linux**</td><td style="width: 33.0246%;">Основной акцент на управление доступом на основе процессов и истории их действий (обучение)</td><td style="width: 35.271%;">Япония, встраиваемые системы</td><td style="width: 8.46246%;">Неэкск.</td></tr><tr><td style="width: 23.1228%;">**Yama**</td><td style="width: 33.0246%;">Маленький LSM для ограничения `ptrace` (трассировки процессов)</td><td style="width: 35.271%;">Включён в ядро по умолчанию (Ubuntu, Debian, Arch)</td><td style="width: 8.46246%;">Неэкск.</td></tr><tr><td style="width: 23.1228%;">**Landlock**</td><td style="width: 33.0246%;">Новый LSM (c 2021 г., Linux 5.13+), даёт приложениям возможность ограничивать **себя** (sandboxing)</td><td style="width: 35.271%;">Современные Debian/Ubuntu, используется для sandbox-браузеров и контейнеров</td><td style="width: 8.46246%;">Неэкск.</td></tr><tr><td style="width: 23.1228%;">**LoadPin**</td><td style="width: 33.0246%;">Гарантирует загрузку модулей ядра только из доверенной FS</td><td style="width: 35.271%;">Chromebook, сервера</td><td style="width: 8.46246%;">Неэкск.</td></tr><tr><td style="width: 23.1228%;">**Integrity (IMA/EVM)**</td><td style="width: 33.0246%;">Контроль целостности файлов (подписи, хэши)</td><td style="width: 35.271%;">Корпоративные Linux-системы</td><td style="width: 8.46246%;">Неэкск.</td></tr><tr><td style="width: 23.1228%;">**Lockdown**</td><td style="width: 33.0246%;">Ограничивает root-доступ к ядру (часть upstream ядра с 5.4)</td><td style="width: 35.271%;">Включён в Debian, Ubuntu, Fedora</td><td style="width: 8.46246%;">Неэкск.</td></tr><tr><td style="width: 23.1228%;">**Capability**</td><td style="width: 33.0246%;">Базовый модуль, модель минимально необходимых привилегий. Всегда включён.</td><td style="width: 35.271%;">  
</td><td style="width: 8.46246%;">Неэкск.</td></tr><tr><td style="width: 23.1228%;">**bpf**</td><td style="width: 33.0246%;">Контроль безопасности eBPF-программ</td><td style="width: 35.271%;">  
</td><td style="width: 8.46246%;">Неэкск.</td></tr><tr><td style="width: 23.1228%;">**ipe**</td><td style="width: 33.0246%;">Политики целостности (разрешение/запрет запуска бинарников)</td><td style="width: 35.271%;">  
</td><td style="width: 8.46246%;">Неэкск.</td></tr></tbody></table>

Список используемых LSM модулей

```
cat /sys/kernel/security/lsm
lockdown,capability,landlock,yama,apparmor,tomoyo,bpf,ipe,ima,evm
```

Естественно модули для непересекающихся задач не конфликтуют.