Toshiharu Harada
harad****@gmail*****
2014年 9月 27日 (土) 22:16:48 JST
原田です。 (2014/09/27 21:28), Tetsuo Handa wrote: > Dan Walsh さんが What does SELinux do to contain the the bash exploit? > ( http://danwalsh.livejournal.com/71122.html ) という記事を書いたので、 > 熊猫も TOMOYO/AKARI/CaitSith の場合について書こうと思います。 > > TOMOYO/AKARI/CaitSith はコマンドライン引数/環境変数の名前や値を検査する機能を > 備えた名前ベースのアクセス制御を行います。そのため、「任意のOSコマンドを挿入 > できる脆弱性」からの防御が得意です。 > > 例えば、 /bin/bash から /bin/mail の実行のみを許可して強制モードを使用している > 場合、 /bin/bash からは /bin/mail の実行しかできません。言い換えると、細工 > された環境変数は /bin/cat /bin/mv /bin/rm 等を実行することはできず、 /bin/mail > だけを実行することができます。 > > 例えば、 /bin/mail のコマンドライン引数(例: /bin/sh -c "mail root")を明示 > した上で実行を許可して強制モードを使用している場合、指定されたコマンドライン > 引数を伴った /bin/mail の実行しかできません。仮に /bin/mail のコマンドライン > 引数を明示しなかったとしても、 /bin/mail がアクセス可能な資源にしかアクセス > できません。 上の /bin/mail の例は、TOMOYO に特徴的なものです。ご興味ある方は、 情報処理学会の会員誌 (Vol.51, No.10) に書いた記事があるので良ければご覧ください。 この号は、Linuxのセキュリティ特集で、Linuxセキュリティの概要、 SELinuxの記事などもあります。 https://ipsj.ixsq.nii.ac.jp/ej/index.php?action=pages_view_main&active_action=repository_view_main_item_snippet&index_id=5959&pn=1&count=20&order=7&lang=japanese&page_id=13&block_id=8 より詳細なものは論文もあります(Vol.53, No.9 「アプリケーションの実行状況に 基づく強制アクセス制御方式」)が、考え方や概要は、上のリンクにある 「ラベルに基づくセキュリティの限界とその補完 TOMOYO Linuxの設計思想と試み」が 読みやすいです。 > ところで、 TOMOYO/AKARI を使用していないけれども、 CVE-2014-6271 による影響を > 受ける可能性のある箇所を判断するために bash がどこから起動されているかを調査 > したい場合、 TaskTracker カーネルモジュール > http://sourceforge.jp/projects/akari/scm/svn/tree/head/branches/tasktracker/ > が役に立つかもしれません。 > > また、 LinuxCon Japan 2014 で発表した「 How to obtain information for > troubleshooting enterprise servers 」のスライド > http://I-love.SAKURA.ne.jp/tomoyo/LCJ2014-ja.pdf には、 Linux システムを理解 > するための様々なアイデアが紹介されています。質問やフィードバックを歓迎します。 このメーリングリストで紹介するのを忘れていましたが、8月から半田さんと私で 「安らかな夜を迎えるために」という連載を執筆しています。 セキュリティに関するものではありませんが、サポートセンターの現場で 働いた経験を読者の方に役立てて欲しいという思いのもと書いています。 良ければ是非ご覧ください。 http://www.intellilink.co.jp/article/column/oss/index.html ーー 原田季栄 harad****@gmail*****