macOS MACF

Reading time: 9 minutes

Temel Bilgiler

MACF, Zorunlu Erişim Kontrol Çerçevesi anlamına gelir ve bilgisayarınızı korumaya yardımcı olmak için işletim sistemine entegre edilmiş bir güvenlik sistemidir. Belirli sistem bölümlerine (dosyalar, uygulamalar ve sistem kaynakları gibi) kimin veya neyin erişebileceği hakkında katı kurallar belirleyerek çalışır. Bu kuralları otomatik olarak uygulayarak, MACF yalnızca yetkili kullanıcıların ve süreçlerin belirli eylemleri gerçekleştirmesine izin verir, yetkisiz erişim veya kötü niyetli faaliyetler riskini azaltır.

MACF'nin gerçekten herhangi bir karar vermediğini, yalnızca eylemleri yakaladığını unutmayın; kararları çağırdığı politika modüllerine (kernel uzantıları) bırakır, bunlar arasında AppleMobileFileIntegrity.kext, Quarantine.kext, Sandbox.kext, TMSafetyNet.kext ve mcxalr.kext bulunmaktadır.

Akış

1. Süreç bir syscall/mach tuzağı gerçekleştirir
2. İlgili işlev çekirdek içinde çağrılır
3. İşlev MACF'yi çağırır
4. MACF, o işlevi politikalarına bağlamak için talep eden politika modüllerini kontrol eder
5. MACF, ilgili politikaları çağırır
6. Politikalar, eylemi izin verip vermeyeceklerini belirtir

Etiketler

MACF, ardından politikaların bazı erişim izni verip vermeyeceğini kontrol edeceği etiketler kullanır. Etiketlerin yapı tanımının kodu burada bulunabilir; bu, struct ucred içinde burada cr_label kısmında kullanılır. Etiket, MACF politikalarının işaretçi ayırmak için kullanabileceği bayraklar ve bir dizi slot içerir. Örneğin, Sandbox konteyner profilini işaret edecektir.

MACF Politikaları

Bir MACF Politikası, belirli çekirdek işlemlerinde uygulanacak kural ve koşulları tanımlar.

Bir çekirdek uzantısı, mac_policy_conf yapısını yapılandırabilir ve ardından mac_policy_register çağrısını yaparak kaydedebilir. Buradan:

#define mpc_t	struct mac_policy_conf *

/**
@brief Mac policy configuration

This structure specifies the configuration information for a
MAC policy module.  A policy module developer must supply
a short unique policy name, a more descriptive full name, a list of label
namespaces and count, a pointer to the registered enty point operations,
any load time flags, and optionally, a pointer to a label slot identifier.

The Framework will update the runtime flags (mpc_runtime_flags) to
indicate that the module has been registered.

If the label slot identifier (mpc_field_off) is NULL, the Framework
will not provide label storage for the policy.  Otherwise, the
Framework will store the label location (slot) in this field.

The mpc_list field is used by the Framework and should not be
modified by policies.
*/
/* XXX - reorder these for better aligment on 64bit platforms */
struct mac_policy_conf {
const char		*mpc_name;		/** policy name */
const char		*mpc_fullname;		/** full name */
const char		**mpc_labelnames;	/** managed label namespaces */
unsigned int		 mpc_labelname_count;	/** number of managed label namespaces */
struct mac_policy_ops	*mpc_ops;		/** operation vector */
int			 mpc_loadtime_flags;	/** load time flags */
int			*mpc_field_off;		/** label slot */
int			 mpc_runtime_flags;	/** run time flags */
mpc_t			 mpc_list;		/** List reference */
void			*mpc_data;		/** module data */
};

Kernel uzantılarını bu politikaları yapılandıran mac_policy_register çağrılarına bakarak tanımlamak kolaydır. Ayrıca, uzantının ayrıştırmasını kontrol ederek kullanılan mac_policy_conf yapısını bulmak da mümkündür.

MACF politikalarının dinamik olarak kaydedilebileceğini ve kaydının kaldırılabileceğini unutmayın.

mac_policy_conf yapısının ana alanlarından biri mpc_ops'dir. Bu alan, politikanın ilgilendiği işlemleri belirtir. Bunların yüzlercesi olduğunu unutmayın, bu nedenle hepsini sıfırlamak ve ardından politikanın ilgilendiği yalnızca belirli olanları seçmek mümkündür. Buradan:

struct mac_policy_ops {
mpo_audit_check_postselect_t		*mpo_audit_check_postselect;
mpo_audit_check_preselect_t		*mpo_audit_check_preselect;
mpo_bpfdesc_label_associate_t		*mpo_bpfdesc_label_associate;
mpo_bpfdesc_label_destroy_t		*mpo_bpfdesc_label_destroy;
mpo_bpfdesc_label_init_t		*mpo_bpfdesc_label_init;
mpo_bpfdesc_check_receive_t		*mpo_bpfdesc_check_receive;
mpo_cred_check_label_update_execve_t	*mpo_cred_check_label_update_execve;
mpo_cred_check_label_update_t		*mpo_cred_check_label_update;
[...]

Hemen hemen tüm hook'lar, bu işlemlerden biri engellendiğinde MACF tarafından geri çağrılacaktır. Ancak, mpo_policy_* hook'ları bir istisnadır çünkü mpo_hook_policy_init() kayıt sırasında çağrılan bir geri çağrıdır (yani mac_policy_register()'dan sonra) ve mpo_hook_policy_initbsd() BSD alt sistemi düzgün bir şekilde başlatıldığında geç kayıt sırasında çağrılır.

Ayrıca, mpo_policy_syscall hook'u, özel bir ioctl tarzı çağrı arayüzü sunmak için herhangi bir kext tarafından kaydedilebilir. Ardından, bir kullanıcı istemcisi, politika adı olarak bir tamsayı kodu ve isteğe bağlı argümanlar belirterek mac_syscall (#381) çağrısı yapabilecektir.
Örneğin, Sandbox.kext bunu sıkça kullanır.

Kext'in __DATA.__const* kontrol edilerek, politikanın kaydedilmesi sırasında kullanılan mac_policy_ops yapısını tanımlamak mümkündür. Bunu bulmak mümkündür çünkü işaretçisi mpo_policy_conf içinde bir ofsettedir ve ayrıca o alanda bulunacak NULL işaretçilerin sayısı nedeniyle.

Ayrıca, her kaydedilen politika ile güncellenen _mac_policy_list yapısını bellekten dökerek bir politikayı yapılandırmış kext'lerin listesini almak da mümkündür.

MACF Başlatılması

MACF çok kısa bir süre içinde başlatılır. XNU'nun bootstrap_thread'inde ayarlanır: ipc_bootstrap'tan sonra mac_policy_init() çağrısı yapılır, bu da mac_policy_list'i başlatır ve kısa bir süre sonra mac_policy_initmach() çağrılır. Bu işlev, ALF.kext, AppleMobileFileIntegrity.kext, Quarantine.kext, Sandbox.kext ve TMSafetyNet.kext gibi Info.plist'lerinde AppleSecurityExtension anahtarına sahip tüm Apple kext'lerini alır ve yükler.

MACF Çağrıları

Kodda #if CONFIG_MAC koşullu blokları gibi MACF'ye yapılan çağrılar bulmak yaygındır. Ayrıca, bu blokların içinde, belirli eylemleri gerçekleştirmek için izinleri kontrol etmek amacıyla MACF'yi çağıran mac_proc_check* çağrılarına rastlamak mümkündür. Ayrıca, MACF çağrılarının formatı: mac_<object>_<opType>_opName şeklindedir.

Nesne aşağıdakilerden biri olabilir: bpfdesc, cred, file, proc, vnode, mount, devfs, ifnet, inpcb, mbuf, ipq, pipe, sysv[msg/msq/shm/sem], posix[shm/sem], socket, kext.
opType genellikle eylemi izin vermek veya reddetmek için kullanılacak olan kontrol'dür. Ancak, verilen eyleme tepki vermek için kext'in notify bulmak da mümkündür.

Bir örneği https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_mman.c#L621 adresinde bulabilirsiniz:

int
mmap(proc_t p, struct mmap_args *uap, user_addr_t *retval)
{
[...]
#if CONFIG_MACF
			error = mac_file_check_mmap(vfs_context_ucred(ctx),
			    fp->fp_glob, prot, flags, file_pos + pageoff,
&maxprot);
if (error) {
(void)vnode_put(vp);
goto bad;
}
#endif /* MAC */
[...]

Ardından, mac_file_check_mmap kodunu https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac_file.c#L174 adresinde bulmak mümkündür.

mac_file_check_mmap(struct ucred *cred, struct fileglob *fg, int prot,
int flags, uint64_t offset, int *maxprot)
{
int error;
int maxp;

maxp = *maxprot;
MAC_CHECK(file_check_mmap, cred, fg, NULL, prot, flags, offset, &maxp);
if ((maxp | *maxprot) != *maxprot) {
panic("file_check_mmap increased max protections");
}
*maxprot = maxp;
return error;
}

MAC_CHECK makrosunu çağıran, kodu https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac_internal.h#L261 adresinde bulunabilir.

/*
* MAC_CHECK performs the designated check by walking the policy
* module list and checking with each as to how it feels about the
* request.  Note that it returns its value via 'error' in the scope
* of the caller.
*/
#define MAC_CHECK(check, args...) do {                              \
error = 0;                                                      \
MAC_POLICY_ITERATE({                                            \
if (mpc->mpc_ops->mpo_ ## check != NULL) {              \
DTRACE_MACF3(mac__call__ ## check, void *, mpc, int, error, int, MAC_ITERATE_CHECK); \
int __step_err = mpc->mpc_ops->mpo_ ## check (args); \
DTRACE_MACF2(mac__rslt__ ## check, void *, mpc, int, __step_err); \
error = mac_error_select(__step_err, error);         \
}                                                           \
});                                                             \
} while (0)

Hangi, tüm kayıtlı mac politikalarını çağırarak işlevlerini çalıştıracak ve çıktıyı yalnızca mac_error_select tarafından başarı kodları ile geçersiz kılınabilecek olan hata değişkeninde depolayacaktır, bu nedenle herhangi bir kontrol başarısız olursa, tüm kontrol başarısız olacak ve eyleme izin verilmeyecektir.

/*
 * MAC_GRANT, politika modülü listesini dolaşarak
 * isteğe ilişkin her biriyle nasıl hissettiğini kontrol ederek
 * belirlenen kontrolü gerçekleştirir. MAC_CHECK'ten farklı olarak,
 * herhangi bir politika '0' dönerse verir ve aksi takdirde EPERM döner.
 * Değerini çağıranın kapsamındaki 'error' aracılığıyla döndürdüğünü unutmayın.
 */
#define MAC_GRANT(check, args...) do {                              \
    error = EPERM;                                                  \
    MAC_POLICY_ITERATE({                                            \
	if (mpc->mpc_ops->mpo_ ## check != NULL) {                  \
	        DTRACE_MACF3(mac__call__ ## check, void *, mpc, int, error, int, MAC_ITERATE_GRANT); \
	        int __step_res = mpc->mpc_ops->mpo_ ## check (args); \
	        if (__step_res == 0) {                              \
	                error = 0;                                  \
	        }                                                   \
	        DTRACE_MACF2(mac__rslt__ ## check, void *, mpc, int, __step_res); \
	    }                                                           \
    });                                                             \
} while (0)

priv_check & priv_grant

Bu çağrılar, bsd/sys/priv.h dosyasında tanımlanan (onlarca) ayrıcalığı kontrol etmek ve sağlamak için tasarlanmıştır.
Bazı çekirdek kodları, priv_check_cred()'i bsd/kern/kern_priv.c dosyasından, sürecin KAuth kimlik bilgileri ve ayrıcalık kodlarından biri ile çağıracak ve ardından mac_priv_check çağrılarak herhangi bir politikanın ayrıcalığı vermeyi reddedip etmediği kontrol edilecek ve ardından mac_priv_grant çağrılarak herhangi bir politikanın ayrıcalığı verip vermediği kontrol edilecektir.

proc_check_syscall_unix

Bu kanca, tüm sistem çağrılarını kesmeye olanak tanır. bsd/dev/[i386|arm]/systemcalls.c dosyasında, bu kodu içeren tanımlı işlevi unix_syscall görebilirsiniz:

#if CONFIG_MACF
if (__improbable(proc_syscall_filter_mask(proc) != NULL && !bitstr_test(proc_syscall_filter_mask(proc), syscode))) {
error = mac_proc_check_syscall_unix(proc, syscode);
if (error) {
goto skip_syscall;
}
}
#endif /* CONFIG_MACF */

Hangi çağıran süreçte bitmask kontrol edilecektir, böylece mevcut syscall'ın mac_proc_check_syscall_unix çağırıp çağırmayacağı belirlenir. Bunun nedeni, syscalls'ın çok sık çağrılmasıdır; bu nedenle mac_proc_check_syscall_unix'i her seferinde çağırmaktan kaçınmak ilginçtir.

proc_set_syscall_filter_mask() fonksiyonunun, bir süreçte bitmask syscalls'ı ayarlamak için Sandbox tarafından çağrıldığını unutmayın; bu, sandboxed süreçlerde maskeleri ayarlamak içindir.

Açık MACF syscalls

MACF ile etkileşimde bulunmak, security/mac.h dosyasında tanımlanan bazı syscalls aracılığıyla mümkündür:

/*
* Extended non-POSIX.1e interfaces that offer additional services
* available from the userland and kernel MAC frameworks.
*/
#ifdef __APPLE_API_PRIVATE
__BEGIN_DECLS
int      __mac_execve(char *fname, char **argv, char **envv, mac_t _label);
int      __mac_get_fd(int _fd, mac_t _label);
int      __mac_get_file(const char *_path, mac_t _label);
int      __mac_get_link(const char *_path, mac_t _label);
int      __mac_get_pid(pid_t _pid, mac_t _label);
int      __mac_get_proc(mac_t _label);
int      __mac_set_fd(int _fildes, const mac_t _label);
int      __mac_set_file(const char *_path, mac_t _label);
int      __mac_set_link(const char *_path, mac_t _label);
int      __mac_mount(const char *type, const char *path, int flags, void *data,
struct mac *label);
int      __mac_get_mount(const char *path, struct mac *label);
int      __mac_set_proc(const mac_t _label);
int      __mac_syscall(const char *_policyname, int _call, void *_arg);
__END_DECLS
#endif /*__APPLE_API_PRIVATE*/

Referanslar

• *OS İç Yapıları Cilt III