TOP比較データ> ファイルに対するアクセス権
個人情報保護法から見るセキュアOSの必要性
個人情報保護法から見るセキュアOSの必要性

第3回:セキュアOS紹介(1)
〜 MIRACLE HiZARDとLIDS
著者: ミラクル・リナックス  遠藤 洋輔
日本SELinuxユーザ会 LIDS支部  面 和毅   2005/3/9
前のページ  1  2  3  4
ファイルに対するアクセス権

   例えばセキュリティの確保の為に、/etc/sshdディレクトリ以下をデフォルトでアクセス禁止にしたいとします。その場合には、前述のlidsconfコマンドを用いて次のように設定します。
lidsconf -A -o /etc/sshd -j DENY

   上記のコマンドを実行すると、/etc/sshd以下のファイルやディレクトリはどのプログラムからもアクセスが禁止されます。

   しかし、SSHデーモンが起動するためには、/etc/sshd以下のファイルを読み込む必要があります。そのため、SSHデーモン(/usr/sbin/sshd)に/etc/sshd以下のファイルへの読み込み権限を与えます。

lidsconf -A -s /usr/sbin/sshd -o /etc/sshd -j READONLY

   この2つのコマンドだけで、/etc/sshd以下のディレクトリが、本当にアクセスが必要な/usr/sbin/sshdデーモン以外のアクセスから保護された状態になります。このように、LIDSでは直感的な記述方法で、ファイルに対するアクセス権を設定することができます。
プロセスへのケーパビリティの付与

   SSHデーモンが起動する際には、ポート22番を使用します。そのため、SSHデーモンにポート22番を使用する権利を与えましょう。前述したとおり、ケーパビリティに対してもlidsconfコマンドを用いた同様の記述方式になります。
lidsconf -A -s /usr/sbin/sshd -o CAP_NET_BIND_SERVICE 22 -j GRANT

   このように、lidsconfコマンドを用いて、プロセスに対して直感的にケーパビリティを与えることができます。
バージョンによるLIDSの違い

   現在、LIDSは以下の2つのバージョンで開発が進められています。
  • Linux Kernel 2.4系列対応のLIDS-1系列
  • Linux Kernel 2.6系列対応のLIDS-2系列

   LIDS-2系列はSELinuxと同じくLSMに対応しています。また、LIDS-2系列で新たに取り込まれた機能は、LIDS-1系列にもバックポートされています。

   また、LIDS-1系列でも独自に拡張が進んでおり、TDE(Trusted Domain Enforcement)、TPE(Trusted Path Execution)機能を盛り込みました。現在もLinux Kernel 2.4系列が主流であることを考えると、両系列ともに開発を続けているということはユーザにとって非常に有意義だと思われます。
LIDSの情報源

   海外では、次のサイトが中心になっています。
LIDSの本家 http://www.lids.org/
LIDS ML http://www.lids.org/maillist.html
LIDSフォーラム http://forum.lids.org/

   また、日本では日本SELinuxユーザ会のサイト内にある、LIDS-JPサイト(http://www.selinux.gr.jp/LIDS-JP/index.html)から、日本語の文書や独自パッケージなどの情報発信を行っています。メーリングリストは特別に用意していませんので、現在のところ日本SELinuxユーザ会のメーリングリストでLIDSの話題をさせてもらっています。
LIDSのまとめ

   LIDSは、セキュアOSとしての機能はRBACがない分、他のセキュアOSに劣りますが、非常に直感的に設定を行っていくことができ、敷居が低くなっています。また、開発もフレンドリーなコミュニティで行われており、ユーザの意見が非常に反映されやすくなっています。LIDSを、セキュアOSの勉強の第一歩として、使用できるのではないかと考えます。
おわりに

   今回はMIRACLE HiZARDとLIDSという2つのセキュアOSを紹介しました。多くの機能を持ち、セキュアOSとしての基本的な機能だけでなく、侵入防止システムも兼ね備えた「MIRACLE HiZARD」。また、直感的でシンプルに設定を行えるフリーの「LIDS」。もちろん、必要な機能の有無だけでなく、設定のしかた、運用のしやすさなど、検討することはたくさんありますが、導入の手引きとなったでしょうか?

   また、次回も他のセキュアOS製品について紹介します。さまざまなセキュアOSの特徴を知り、セキュアOS技術について理解していただこうと思います。
前のページ  1  2  3  4

ミラクル・リナックス
 著者プロフィール
ミラクル・リナックス株式会社  遠藤 洋輔
某SIベンダーにて、Linuxやネットワーク、セキュリティ関連の構築・運用を担当後、2003年よりミラクル・リナックス社に在席。現在、MIRACLE HiZARDの検証からサポート、営業支援などを担当。
日本SELinuxユーザ会
 著者プロフィール
日本SELinuxユーザ会 LIDS支部  面 和毅
1997年よりサーバ構築及びセキュリティ全般を扱う仕事に従事し、Linuxを触り始める。現在LIDSの布教活動に力を入れており、SELinuxユーザ会内でLIDS支部を立ち上げている。活動として、LIDS関連文書の日本語化と、LIDSを用いたシステム構築の紹介を行っている。
INDEX
第3回:セキュアOS紹介(1)〜 MIRACLE HiZARDとLIDS
  はじめに
  役割ベースのアクセス制御
  LIDSとは
ファイルに対するアクセス権