セキュリティ情報ディレクトリ ITNAVI.net
Google
WWWを検索 itnavi.netを検索


HOME  定番情報源  情報漏洩を防止する  →個人情報保護  →情報漏洩防止商品  →データの消去・抹消・削除  Linux関連情報  →SELinux  →LIDS  Microsoft関連情報  プロファイリングで攻撃者を調査する  認証  脆弱性検査(ペネトレーションテスト)  ログチェック  ウィルス対策  →Gumblar(ガンブラー)  →ウイルスバスター ダウンロード  →ノートン ダウンロード  スパイウェア・トロイの木馬対策  パケットキャプチャでネットワーク監視  暗号化  VPN  セキュアな無線LAN  セキュアプログラミング  →SQLインジェクション  メール関連のセキュリティ  ファイアウォールで守る  侵入検知  →Snort  シンクライアント  インシデントレスポンス  セキュリティポリシー  セキュリティ監査  セキュリティ関連の法律  過去のニュース  クレジットカードのセキュリティ 電子マネーのセキュリティ  各種ツールメモ  ノンセクション  セキュリティ関連書籍  サイトマップ 


LinuxWorld Expo/Tokyo 2002 で、「OSレベルのセキュリティ対策 Security Enhanced Linux (SELinux)の紹介」を聴いた。

■SELinuxの必要性

クラッキングには、大きく分けて侵入攻撃とDoS攻撃があるが、SELinuxでは侵入攻撃に着目している。不正アクセス被害の内訳を見ると、侵入攻撃による被害が多くを占めている。侵入攻撃は、調査→侵入→root権限奪取→破壊といった手順を踏む。攻撃者は、まずセキュリティホールを発見し、次にそのセキュリティホールを利用し侵入、さらにroot権限を奪取することで、ホームページ改竄をはじめバックドアの設置、システムファイル破壊、機密情報奪取などの不正行為を行う。

攻撃例としては、rootプロセスから侵入し直接root権限を奪取する場合と、一般ユーザプロセスに侵入してから、ローカルrootプロセス(suidプロセス)に侵入するという2段階の侵入を行う場合もある。

アプリケーションレベルの侵入攻撃対策としては、IDS(侵入検知システム)やアプリケーションゲートウェイ、攻撃検知ライブラリ(libsafeなど)、パッチ当てがあるが、従来の対策は対症療法に過ぎない。つまり既知の攻撃しか防御できない。

そこで、OSレベルの侵入攻撃対策を取ることにより、根本的に侵入攻撃を防ぎ、さらにセキュアにすることができる。セキュリティホールは次から次へと発見され、攻撃手法が開発されるのでアプリケーションレベルの対策では後手に回ってしまう。しかし、SELinuxではOSレベルでroot権限を無くし、侵入を無力化するので、侵入手法が進歩しようとも防ぐ事ができる。


■SELinuxの機能紹介

SELinuxは、NSA(米国国家安全保障局)で開発され、GPLで配布されている。全てのプロセス、ユーザが最小限の権限しか持たず、TCSEC(米国のセキュリティ評価基準。通称オレンジブック)でB1レベル相当をクリアしている(Windows NTや普通のUNIX系OSでは、C2レベル)。カーネルといくつかのコマンドを入れ替えるだけで使え、その他のプログラムの改変や再コンパイルは必要無いので、既存のLinuxとの互換性も高い。Linuxカーネルのモジュールとして組み込まれ、アプリケーションからのアクセス要求に対し、ネットワーク、ファイルへのアクセスを厳しく制限することが可能である。

SELinuxのアクセス制御機能には、下記のものがある。


SELinuxは高度なセキュリティ機能を持ち、対策コストの低減、運用コストの低減を図ることができる。ただし、木目細かいアクセス制御が出来る反面、設定ファイルは7000行にも及ぶので、導入コストは当然高くなる。

これだけの攻撃耐性を持つSELinuxだが、弱点はある。それは、パスワードを知られてしまった場合、SELinux自体のバグ、SELinuxの設定ミス、遠隔管理プロセスのセキュリティホールなどである。


■WebminのSELinux対応

日立ソフトエンジニアリングでは、遠隔管理を安全に行えるために、遠隔管理ツールWebminのSELinux対応を行っている。認証プロセスの多重化や、SELinuxAPIの利用、クッキーの排除によりWebminの問題点を解決した。これにより、セキュアで便利な遠隔管理が可能になった。


参考URL
Security-Enhanced Linux

SELinuxセキュリティ支援プログラムの開発 2004/3/16
セキュアなインターネットサーバー構築に関する調査 2003/4/9
オペレーティングシステムのセキュリティ機能拡張の調査 2002/3/11

Welcome to Hitachi Software's SELinux site.

SELinux Policy Editor Project
http://selpe.sourceforge.jp/
>SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説
4822221113中村 雄一 水上 友宏 上野 修一 日立ソフトウェアエンジニアリング

日経BP社 2004-03
売り上げランキング : 13,326

おすすめ平均star
starSELinuxを触る方には必読
star徹底活用しましょう

Amazonで詳しく見る by G-Tools

SELinux徹底ガイドサポート情報

>SELinuxシステム管理―セキュアOSの基礎と運用
4873112257Bill McCarty 田口 裕也 根津 研介 林 秀幸

オライリー・ジャパン 2005-03
売り上げランキング : 6,208

おすすめ平均star
starセキュリティー座右の書
star日本語版SELinuxの基本書!
starSELinuxシステム管理レビュー

Amazonで詳しく見る by G-Tools

Nikkei Linux 2003年5月号
特集記事「UNIXセキュリティの限界を超える究極のセキュアOSを簡単導入」

Welcome to Hitachi Software's SELinux site.
SELinux(Security-Enhanced Linux)を中心としたセキュアOSに関連する話題を日本語で扱います。

日本SELinuxユーザ会
Fedora Cor3 SELinuxメモ

SELINUX.JP

SELinux Policy Editor 2.0のベータ版が公開 -SELinuxがやさしくなる?
http://journal.mycom.co.jp/news/2006/05/31/344.html (2006/5/31)

SELinux Policy EditorでSELinuxを簡単に
http://www.atmarkit.co.jp/fsecurity/special/94seedit/seedit01.html (2006/12/8)

外部と内部、両面からの脅威に効くSELinux (1/2)
http://www.itmedia.co.jp/enterprise/articles/0612/06/news012.html (2006/12/5)

第8回 Multi Level Securityで機密ファイルを管理する
http://www.atmarkit.co.jp/fsecurity/rensai/selinux08/selinux01.html (2006/11/28)
新しく追加されたMulti Category Security − @IT
http://www.atmarkit.co.jp/fsecurity/rensai/selinux06/selinux01.html (2006/8/16)
Referenceポリシーの作成と動作テスト − @IT
http://www.atmarkit.co.jp/fsecurity/rensai/selinux05/selinux01.html (2006/6/17)
ReferenceポリシーをEnforcingモードで動かそう − @IT
http://www.atmarkit.co.jp/fsecurity/rensai/selinux04/selinux01.html (2006/4/18)
Referenceポリシーを設定してみよう − @IT
http://www.atmarkit.co.jp/fsecurity/rensai/selinux03/selinux01.html (2006/2/9)
構成が大きく変わったセキュリティポリシー 2.x系 − @IT
http://www.atmarkit.co.jp/fsecurity/rensai/selinux02/selinux01.html 2006/1/14
SELinuxの出自とキソのキソ − @IT
http://www.atmarkit.co.jp/fsecurity/rensai/selinux01/selinux01.html 2005/11/25

第1回 SELinuxの概要(ITmedia) 2005/1/31
第2回 SELinuxモジュールの詳細 (1/2)(ITmedia) 2005/2/17
第3回 基本操作とポリシーファイルの設定 (1/3)(ITmedia) 2005/3/25
最終回 メールを守れ! セキュアなメールサーバ構築法 (1/3)(ITmedia) 2005/5/13

【セキュアOS SELinux入門】第1回 セキュアOSが必要な理由(IT Pro) 2004/4/26
【セキュアOS SELinux入門】第2回 ユーザーやプロセスの権限を厳格に管理(IT Pro) 2004/5/17
【セキュアOS SELinux入門】第3回 Fedora Core 2をインストールしてSELinuxを利用する(IT Pro) 2004/6/1
【セキュアOS SELinux入門】第4回 SELinuxの基本操作方法をマスターする(IT Pro) 2004/6/15
【セキュアOS SELinux入門】第5回 設定に関する基礎知識をマスターする(IT Pro) 2004/6/29
【セキュアOS SELinux入門】第6回 最も簡単な設定方法(IT Pro) 2004/7/13
【セキュアOS SELinux入門】最終回 SELinuxとLIDSの機能・性能を比較する(IT Pro) 2004/8/17

SE Linux Play Machine
SELinux Play Machineとは、SELinuxの公開実験マシンのことで、rootアカウントを世界に向けて公開しています。

Getting Started with SE Linux HOWTO: the new SE Linux
Getting Started with SE Linux HOWTO: the new SE Linux 日本語訳

Gentoo Linux Documentation -- Gentoo Linux SELinux Quick Start Guide

Understanding and Customizing the Apache HTTP SELinux Policy
Fedora Core 2 test2 SELinux FAQ

SELinuxに新たな動き、「SELinux Policy Editor Project」が設立(ITmedia) 2005/5/31

  • 「米政府機関でSELinuxのプロジェクトが進行中,複雑さを解決する技術も開発」――SELinux Symposium Chairman Frank Mayer氏(IT Pro) 2005/6/15

  • セキュアOS SELinuxの国産GUIツール「SELinux Policy Editor 1.0」正式版が無償公開
    http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050721/165060/ (2005/7/21)
  • Fedora Core6におけるSELinuxの強化点──活発に開発が進むSELinux
    http://www.itmedia.co.jp/enterprise/articles/0611/24/news011.html (2006/11/24)



    ■最後に

    他にも、PitBullや最近発表されたHP Secure OS Software for Linuxなどの同じ指向の製品もあるが、SELinux は米国家安全保障局(NSA)がオープンソース(GPL)として公開しているため、最近では Fedora Core のように SELinux を組み込んだディストリビューションもある。


    セキュリティ情報ディレクトリセキュリティ情報ディレクトリ リンク集 Presented by ITNAVI.com