インプレス ビジネスメディア

第3回:セキュアOS紹介(1) 〜 MIRACLE HiZARDとLIDS (4/4)

TOP比較データ> ファイルに対するアクセス権
個人情報保護法から見るセキュアOSの必要性
個人情報保護法から見るセキュアOSの必要性

第3回:セキュアOS紹介(1)
〜 MIRACLE HiZARDとLIDS
著者: ミラクル・リナックス  遠藤 洋輔
日本SELinuxユーザ会 LIDS支部  面 和毅   2005/3/9
前のページ  1  2  3  4
ファイルに対するアクセス権

   例えばセキュリティの確保の為に、/etc/sshdディレクトリ以下をデフォルトでアクセス禁止にしたいとします。その場合には、前述のlidsconfコマンドを用いて次のように設定します。
lidsconf -A -o /etc/sshd -j DENY

   上記のコマンドを実行すると、/etc/sshd以下のファイルやディレクトリはどのプログラムからもアクセスが禁止されます。

   しかし、SSHデーモンが起動するためには、/etc/sshd以下のファイルを読み込む必要があります。そのため、SSHデーモン(/usr/sbin/sshd)に/etc/sshd以下のファイルへの読み込み権限を与えます。

lidsconf -A -s /usr/sbin/sshd -o /etc/sshd -j READONLY

   この2つのコマンドだけで、/etc/sshd以下のディレクトリが、本当にアクセスが必要な/usr/sbin/sshdデーモン以外のアクセスから保護された状態になります。このように、LIDSでは直感的な記述方法で、ファイルに対するアクセス権を設定することができます。
プロセスへのケーパビリティの付与

   SSHデーモンが起動する際には、ポート22番を使用します。そのため、SSHデーモンにポート22番を使用する権利を与えましょう。前述したとおり、ケーパビリティに対してもlidsconfコマンドを用いた同様の記述方式になります。
lidsconf -A -s /usr/sbin/sshd -o CAP_NET_BIND_SERVICE 22 -j GRANT

   このように、lidsconfコマンドを用いて、プロセスに対して直感的にケーパビリティを与えることができます。
バージョンによるLIDSの違い

   現在、LIDSは以下の2つのバージョンで開発が進められています。
  • Linux Kernel 2.4系列対応のLIDS-1系列
  • Linux Kernel 2.6系列対応のLIDS-2系列

   LIDS-2系列はSELinuxと同じくLSMに対応しています。また、LIDS-2系列で新たに取り込まれた機能は、LIDS-1系列にもバックポートされています。

   また、LIDS-1系列でも独自に拡張が進んでおり、TDE(Trusted Domain Enforcement)、TPE(Trusted Path Execution)機能を盛り込みました。現在もLinux Kernel 2.4系列が主流であることを考えると、両系列ともに開発を続けているということはユーザにとって非常に有意義だと思われます。
LIDSの情報源

   海外では、次のサイトが中心になっています。
LIDSの本家 http://www.lids.org/
LIDS ML http://www.lids.org/maillist.html
LIDSフォーラム http://forum.lids.org/

   また、日本では日本SELinuxユーザ会のサイト内にある、LIDS-JPサイト(http://www.selinux.gr.jp/LIDS-JP/index.html)から、日本語の文書や独自パッケージなどの情報発信を行っています。メーリングリストは特別に用意していませんので、現在のところ日本SELinuxユーザ会のメーリングリストでLIDSの話題をさせてもらっています。
LIDSのまとめ

   LIDSは、セキュアOSとしての機能はRBACがない分、他のセキュアOSに劣りますが、非常に直感的に設定を行っていくことができ、敷居が低くなっています。また、開発もフレンドリーなコミュニティで行われており、ユーザの意見が非常に反映されやすくなっています。LIDSを、セキュアOSの勉強の第一歩として、使用できるのではないかと考えます。
おわりに

   今回はMIRACLE HiZARDとLIDSという2つのセキュアOSを紹介しました。多くの機能を持ち、セキュアOSとしての基本的な機能だけでなく、侵入防止システムも兼ね備えた「MIRACLE HiZARD」。また、直感的でシンプルに設定を行えるフリーの「LIDS」。もちろん、必要な機能の有無だけでなく、設定のしかた、運用のしやすさなど、検討することはたくさんありますが、導入の手引きとなったでしょうか?

   また、次回も他のセキュアOS製品について紹介します。さまざまなセキュアOSの特徴を知り、セキュアOS技術について理解していただこうと思います。
前のページ  1  2  3  4

ミラクル・リナックス
 著者プロフィール
ミラクル・リナックス株式会社  遠藤 洋輔
某SIベンダーにて、Linuxやネットワーク、セキュリティ関連の構築・運用を担当後、2003年よりミラクル・リナックス社に在席。現在、MIRACLE HiZARDの検証からサポート、営業支援などを担当。
日本SELinuxユーザ会
 著者プロフィール
日本SELinuxユーザ会 LIDS支部  面 和毅
1997年よりサーバ構築及びセキュリティ全般を扱う仕事に従事し、Linuxを触り始める。現在LIDSの布教活動に力を入れており、SELinuxユーザ会内でLIDS支部を立ち上げている。活動として、LIDS関連文書の日本語化と、LIDSを用いたシステム構築の紹介を行っている。
INDEX
第3回:セキュアOS紹介(1)〜 MIRACLE HiZARDとLIDS
  はじめに
  役割ベースのアクセス制御
  LIDSとは
ファイルに対するアクセス権
個人情報保護法から見るセキュアOSの必要性
第1回 個人情報保護法とセキュリティ対策
第2回 セキュアOSとは
第3回 セキュアOS紹介(1)〜 MIRACLE HiZARDとLIDS
第4回 セキュアOS紹介(2)〜 Trusted SolarisとPitBull
第5回 セキュアOS紹介(3)〜 SELinux
Linuxディストリビュータが紐解くセキュアOS
第1回 セキュアOSの動向
第2回 Red Hat Enterprise Linuxセキュリティの概要と特徴
第3回 MIRACLE LINUXのセキュリティへの取り組み
第4回 Turbolinuxのセキュリティに対する取り組み

新着記事

位置情報の基本中の基本となる「点」の情報の扱い方を学ぼう 6:30 Kubernetesコミュニティのグループ構成と活動領域の見つけ方 6:30 AIには別の顔を見せるWebサイト: エージェントを狙う間接プロンプトインジェクション 12月4日 6:30 【CNDW2025】なぜCloudNative DevSecOpsを推進するのか? 米軍の事例が示す「速度と安全性」の必然 12月4日 6:00 【序論】なぜ今、監視は「再発見」されるのか 12月3日 6:30

人気記事トップ10

外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう AI搭載のスマートグラス「Even G2」が国内発売ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? オープンソースの電子書籍管理ソフト「Calibre 8.15」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 「Rocky Linux 10.1」リリース IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 米Red Hat、「Red Hat Enterprise Linux 9.7」を発表 AI時代のエンジニアに求められるものとは?「生き残る」ためのキャリア戦略
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 【序論】なぜ今、監視は「再発見」されるのか 「AIを導く」のはオープンソース ー実証に基づいた明確な解を示したレポート「ソブリンAIの現状」を公開 Linuxカーネル「Linux 6.18」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 世界中の「欲しい」を10秒で叶える ─株式会社SAZOが描く越境ECの新時代 「Terraform」でコードをモジュール化して、環境を分離することで適切に管理しよう IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 【序論】なぜ今、監視は「再発見」されるのか
人気記事ランキングをもっと見る

企画広告も役立つ情報バッチリ! Sponsored

新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 1月15日 6:30 AIで激変する「DevOpsの未来」と「IT組織のリーダーが備えるべきこと」とは 2024年11月26日 8:53 仕様書からテストケースを自動生成! Autify Genesisが変えるソフトウェアテストの未来 2024年11月21日 8:04 LLMを自由に切り替え! Kongが提案するAIゲートウェイ活用法 2024年11月15日 6:12