M. Takeyamaです。 #本当は、KDEのどっぷり浸かりたいと思いつつできていない自分が #別のモノに逃避するのはどうかと思いつつ...
SUSE 9.1が kernel 2.6系になって一番やりたいことといえば LSM(Linux Security Modules)の機能が標準装備されて、SELinux で遊んでみようと思っています。
それで、過去にSUSEのメーリングリストのログを"SELinux"という キーワードで検索しましたが、あまりヒットしません。あまり話題に なっていないという印象を持っています。
今後、SUSEの取り組みとしては、SELinuxの扱いはどうなっていくので しょうか? #LSM的には、LIDSという選択枝などもあると思うのですが...
日本だと、有志がRedhat9/FedoraCore1のパッケージをsourceforge.jp で公開していたりします。 http://sourceforge.jp/projects/selinux/files/
CF2(Fedora Core 2)だと標準的なSELinuxのテンプレート がついていてお手軽に試せそうという情報もあります。 (未検証な情報ですが...)
また、日立ソフトはIPAの委託開発でSElinux用のツールを開発し GPLのライセンスで公開もしています。 selpec - SELinux Policy Editing and Configuration sellog - SELinux LOG analyzer selchk - SELinux Checker http://www.selinux.hitachi-sk.co.jp/tool/selaid/selaid-top.html
----- M. Takayama
takezou wrote:
SELinux
あるセミナーで次のような話を聞きました。
SE(Security Enhanced)LinuxはRBAC(Role Based Access Control)機能を付 加するものである。 だから、Linuxカーネルにパッチを適用する必要がある。 そのため、プログラムの互換性に影響を与える可能性がある。 商用ソフトウェアが動作しなくなったり、サポート対象外になる可能性がある。 また、BOF(Buffer Over Flow)防御機能はもっていない。
以上。 khirano
M. Takeyama です。
On Wed, 28 Apr 2004 13:18:37 +0900 Hirano Kazunari khirano@transwift.net wrote:
[...]
SELinux
あるセミナーで次のような話を聞きました。
SE(Security Enhanced)LinuxはRBAC(Role Based Access Control)機能を付 加するものである。 だから、Linuxカーネルにパッチを適用する必要がある。
kernel 2.4系以前だと確かにパッチを適用が必要だったようですが kernel 2.6系だとパッチを適用は必要がないみたいです。 #kernelのビルド時のオプションには依存するかもしれません。
かつ、kernel 2.6系だとLSM(Linux Security Modules)の機能を利用 してSELinuxやLIDSというようなセキュリティモジュールを切り替え ることが容易にできるようです。 #さすがに、networkのドライバーみたいに動的にはできないでしょう。
そのため、プログラムの互換性に影響を与える可能性がある。
defaultをSElinuxとしておけば普通のkernelと同じ動きを するのではないでしょうか。 #少なくとも 私は、そう認識しています。
商用ソフトウェアが動作しなくなったり、サポート対象外になる可能性がある。
使うときは、自己責任で使うようになると思います。 (それまで、保証してくださいということではありません。)
ただ、FC2(Redhatの最新版のテストバージョン)なんかは 標準的なテンプレートがついているようなのでSUSE(ディストロ) としてそのようなテンプレートはつける/つけない ”どうなるだろうか?”ということです。
また、BOF(Buffer Over Flow)防御機能はもっていない。
これに関しては、SElinuxが万能だとは思っていません。
SELinuxの有効なところは、デーモン(アプリ)がBOF(Buffer Over Flow) で権限を取られるようなことがあっても、プロセス毎に細かく ACL(アクセスコントール)できることや権限昇格の制御すること によって不正アクセスの被害を最少限くい止めることができる というメリットがあると思います。 #サーバ管理者的には、導入するメリットは大いにあると #思います。(これから勉強モードです。)
ちなみに、SELinuxモジュールには ・MAC(強制アクセス制限) --- 全プロセスに関する制御みたいです。 ・TE(Type Enforcement) --- プロセス単位のACL ・ドメイン遷移 --- 権限昇格の制御 ・RBAC --- ユーザ単位の権限分割
・監査ログ --- プロセス動作やユーザ行動を監査可能にする為 ・SELinux API --- SELinux用のアプリ開発用API
(オプション機能) ・MLS --- 軍事用のOSの為の制御機能 ・タイプつきIP通信 --- SELinux同士の通信用(IPSecを使うみたい) などの機能があるようです。
日立ソフトさんが運営しているMLがありますので詳しいことは そちらの方で議論されると良いと思います。(結構、hot だと思います。) http://www.selinux.hitachi-sk.co.jp/ml/ml-selinux-users-ml.html
----- M. Takayama
-
Hirano Kazunari -
takezou