Tetsuo Handa
from-****@I-lov*****
2014年 9月 27日 (土) 21:28:38 JST
Dan Walsh さんが What does SELinux do to contain the the bash exploit? ( http://danwalsh.livejournal.com/71122.html ) という記事を書いたので、 熊猫も TOMOYO/AKARI/CaitSith の場合について書こうと思います。 TOMOYO/AKARI/CaitSith はコマンドライン引数/環境変数の名前や値を検査する機能を 備えた名前ベースのアクセス制御を行います。そのため、「任意のOSコマンドを挿入 できる脆弱性」からの防御が得意です。 例えば、 /bin/bash から /bin/mail の実行のみを許可して強制モードを使用している 場合、 /bin/bash からは /bin/mail の実行しかできません。言い換えると、細工 された環境変数は /bin/cat /bin/mv /bin/rm 等を実行することはできず、 /bin/mail だけを実行することができます。 例えば、 /bin/mail のコマンドライン引数(例: /bin/sh -c "mail root")を明示 した上で実行を許可して強制モードを使用している場合、指定されたコマンドライン 引数を伴った /bin/mail の実行しかできません。仮に /bin/mail のコマンドライン 引数を明示しなかったとしても、 /bin/mail がアクセス可能な資源にしかアクセス できません。 ところで、 TOMOYO/AKARI を使用していないけれども、 CVE-2014-6271 による影響を 受ける可能性のある箇所を判断するために bash がどこから起動されているかを調査 したい場合、 TaskTracker カーネルモジュール http://sourceforge.jp/projects/akari/scm/svn/tree/head/branches/tasktracker/ が役に立つかもしれません。 また、 LinuxCon Japan 2014 で発表した「 How to obtain information for troubleshooting enterprise servers 」のスライド http://I-love.SAKURA.ne.jp/tomoyo/LCJ2014-ja.pdf には、 Linux システムを理解 するための様々なアイデアが紹介されています。質問やフィードバックを歓迎します。