[connect24h:9307] Re: SELinux関係リンク集

["KONDOU, Kazuhiro" <kazuhiro@xxxxxxx>]

こんにちは、近藤＠古代図書館です。

omok wrote:
>>それと、パッチ適用などのコスト削減には根本的に利用できないと思われます。
>>そこからの情報漏洩を防ぐなどといった点では利用できても、緊急性を緩和すると
>>いったレベルまでしかできないでしょう。
>>これは MAC でアクセス制限をかけたファイルに cat とかしてみるとわかると思います。
> となっていますが、どういった意味で「わかる」のかが、わからないのですが。
> 
> #ログがあふれるとか、そういうこと？

実装とポリシー次第なので、まさに試してみるのが一番なのですが。(そのための
仮想マシンとも言えます)

アクセスした時点で、DAC レベルではアクセス権限があっても (world readable
なファイルとか) MAC でアクセス権限を与えられていなかった場合に、ポリシーに
よっては該当プロセスを強制終了させるものがあります。(FreeBSD の LOMAC モ
ジュールなどはそんな感じでした)

cat などの場合はまだ cat が終了させられるだけなのでいいのですが、process
fork しないタイプの daemon などを利用している場合、該当のプロセスが落ちて
サービス提供が続行不能になります。1 プロセスで多スレッドの場合もこれに
該当することになります。

これにより、情報漏洩を防ぐことはできたとしても、DoS 攻撃は防ぐことが
できません。なので、別にパッチを当てることをサボったりすることはできないと
いうことになります。
しかし、情報漏洩を防ぐことはできますから、その点から見ての対応緊急性に
ついては、まだ多少緩和されることとなります。

# /etc の下を全部高いレベルで保護した場合などに、 cat /etc/* とかやった場合は
# cat が呼ばれる前に shell 側が展開しに行って終了してしまう訳ですが。
# zsh なんかでうっかりリモートホストを見ているところで C-d して、/etc/hosts
# を見に行ったりなんかして……などというストーリーも考えられます。;)


-- 
KONDOU, Kazuhiro @ Ancient library
site top URL : http://www.alib.jp/
mail address : kazuhiro@xxxxxxx
fingerprint = 18CA 90A9 FDEE FBE1 F69A  D124 9F95 9289 E665 4D2B

--[PR]------------------------------------------------------------------
┏━━━━┓━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃◎大注目┃ ≪山本KID徳郁≫所属ジム『KILLER BEE』公式サイトオープン★
┣━━━━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃★KID選手のBLOGも公開!!ナマの声がリアルタイムで見れるのはココだけ!!
┗　　　　　　　　　　 ＜ http://killerbee.jp/ ＞
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp