除了SELinux规则之外，是否有一个很好的理由(以及它可以是什么)要求对IPC进行DAC限制？

Question

我们公司正在为客户开发一个基于AOSP的平台.我们的一些供应商服务使用HWBinder作为工控机，它使用SELinux来限制服务的发现和访问。问题是，我们的客户坚持SELinux限制是不够的，我们也需要提供一个基于DAC的限制。

我们的客户基于在平台早期版本上进行的安全审核。然而，这个安全审计并没有评估HWBinder IPC，而是一个在旧服务中使用的基于套接字的IPC。在这次审计期间强调的问题是Unix套接字具有0666访问权限，建议将其更改为0660，并使用Unix组只允许特定服务访问套接字。

出于某种原因，我们的客户现在需要将相同(或类似)的方法应用于HWBinder工控机，但是它没有任何附加这些权限的东西。

不幸的是，到目前为止，我还没有得到关于他们的威胁模型的直接答案，所以我的问题是:要求DAC + SELinux甚至是有意义的，如果是这样的话，我应该考虑怎样的威胁模型来正确地实现这个限制呢？

另外，任何关于我如何在不改变IPC方法的情况下为我们的客户提供额外的安全层的想法都是非常感谢的。

Answer 1

世界可写文件几乎被认为是坏的，但在所有但非常具体的情况。如果没有合法的理由让全世界都可以读/写一个文件，那么最好的做法就是将其锁定。几乎所有的安全审计都将标志着世界可写文件的失败.句号。请记住，在UNIX世界中，一切都是“文件”。

很少(如果有的话)安全审计会考虑到特定的selinux策略。如果他们这样做了，它将是除了本机OS控件。对于本机，我指的是典型的UNIX文件权限。其中许多测试运行在多个UNIX平台上.Solaris、AIX、BSD和Linux。像selinux这样的linux特性不太可能被考虑在内。

文件应该由应用程序运行的功能帐户拥有，其权限仅限于函数所有者及其组，访问权限仅限于那些帐户(在大多数情况下)。

您的客户关注可能没有与特定的威胁模型联系在一起，因为它被认为是最佳实践和通过审核的能力。