インプレス ビジネスメディア
個人情報保護法から見るセキュアOSの必要性 3

LIDSとは

LIDSとは

次に、LIDS(Linux Intrusion Detection System)の紹介を行います。LIDSは、Linux上でのroot権限に制限を加える、フリーのセキュアOSの一種です。

LIDSは、1999年にLinux Kernel 2.2用のものが、Huagang Xie氏とPhilippe Biondi氏によってリリースされ、その後、Xie氏を中心にコミュニティベースで開発が進められています。

LIDSの特徴

LIDSの特徴を説明するのであれば、次の一言に尽きるでしょう。

「とにかく、設定が直感的である」

その理由は、LIDSとその他のセキュアOSとの違いにも繋がっています。

LIDSでは、他のセキュアOS製品のように「ロール」を用いたユーザごとの権限付与などを考慮していません。これは、LIDSがもともと「rootの強大な権限を分割して削減していこう」ということを主目的に生まれたものだからです。

そのため、LIDSでは「/etcディレクトリ以下はシステム全体で書き込み禁止である」というように権限を与えていきます。つまり、rootを含むユーザすべてに対して、ファイル・ディレクトリへの絶対的な制限をかけていくことになります。

LIDSで与えられたアクセス権は、Linuxの伝統的なrwxアクセス権の次に参照されます。つまり、LIDSを導入したシステム上でファイル・ ディレクトリにアクセスを行った際には、通常のrwxでのアクセス権チェックをへて、そこで承認されたもののみが、LIDSでのアクセス権をチェックされ ることになります。

また、LIDSでは「あるプロセスには、このような権限のみを与える」という最小特権の付与を行い、プロセスに対して制限をかけていきます。この設定方法も非常に直感的になっています。

ファイルに対するアクセス権

LIDSではファイル・ディレクトリに対して、以下の4つのアクセス権を付与することができます。


  • DENY(拒否)
  • READONLY(読み込みのみ)
  • APPEND(追記可能)
  • WRITE(書き込み可能)

「DENY(拒否)」というアクセス権を与えられたファイル・ディレクトリにはアクセスすることができなくなります。lsコマンドでディレクトリの中を見ようとしても、「アクセス不可」である旨のログが表示されるだけになります。

「READONLY(読み込みのみ)」のアクセス権を与えられたファイル・ディレクトリに関しては、読み込みのみが許可されます。

「APPEND(追記可能)」のアクセス権を与えられたファイル・ディレクトリに関しては、読み込みと追記のみが許可されます。ファイルの変更などは許可されません。

「WRITE(書き込み可能)」のアクセス権を与えられたファイル・ディレクトリに関しては、読み込みと追記、及び書き込みが許可されます。この場合は、LIDSで制限をかけていない場合と同じになります。

プロセスに対するケーパビリティ

プロセスに対しての特権の制御に関しては、LIDSではLinuxケーパビリティ(Linux capability)を用いています。Linuxケーパビリティとは、通常のLinux上の特権を29種類に細分割したものになります。このケーパビリティという考え方は、LinuxではKernel 2.4から標準で組み込まれていたものですが、LIDSでは標準のLinuxの場合よりも使いやすい形で、プロセスのケーパビリティをコントロールすることができます。

例えばLIDS導入以前の通常のLinuxでは、1024番以下のポートをプロセスに使用させるためには特権を付与しなくてはなりませんでした。そ のため、システム時間の変更やネットワーク操作などのその他の特権も含めて、すべての権限をそのプロセスに付与していた形になっていました。したがって、 そのプロセスの脆弱性を突かれた場合には、それらの特権が悪用されてしまいます。

しかし、LIDSではCAP_NET_BIND_SERVICEというケーパビリティのみをそのプロセスに与えることにより、1024番以下のポー トを使用させて、その他の権限を与えないということが可能になりました。そのため攻撃者がそのプロセスの脆弱性を突いたとしても、 CAP_NET_BIND_SERVICEというケーパビリティしか持っていないため、ネットワーク設定などその他の特権を悪用することができなくなって います。

ACLの設定方法

LIDSでは、すべてのACL(Access Control List)を「lidsconf」というコマンドを用いて設定します。構文は次のようになります。

lidsconf -A -s 「Subject」 -o 「Object」 -j 「権限」

「Subject」はそのままの意味で主語のこと、「Object」とは目的語の意味になり、「"Subject"は、"Object"に対して、"権限"ができる」という意味になります。

実際に設定をする場合、「Subject」にはプログラムが入り、「Object」には通常、ファイル・ディレクトリやケーパビリティが入ります。「Subject」を省略した場合には、そのファイル・ディレクトリに対するデフォルトの権限が設定されます。

この記事をシェアしてください

前の記事

セキュアOSとは

次の記事

セキュアOS紹介(2) 〜 Trusted SolarisとPitBull

関連記事

カーネルをチューニングする

2006年6月2日 20:00

ブートローダ/カーネル起動/初期ラムディスク展開の比較

2006年2月7日 20:00

ソフトウェアのインストール

2005年9月22日 20:00

様々なアプリケーションのHAクラスタ化を実現するGeneric ARK

2006年2月10日 20:00

オープンソースソフトウェアの「Heartbeat」によるHAクラスタ

2006年1月13日 20:00

JBoss Enterprise Application Platformのアーキテクチャを理解する

2007年8月28日 20:00

バックナンバー

セキュアOS紹介(3)〜 SELinux

2005年3月23日 20:00

  • セキュリティ
  • 技術解説

セキュアOS紹介(2) 〜 Trusted SolarisとPitBull

2005年3月16日 20:00

  • セキュリティ
  • 技術解説

セキュアOS紹介(1) 〜 MIRACLE HiZARDとLIDS

2005年3月9日 20:00

  • セキュリティ
  • 技術解説

セキュアOSとは

2005年3月2日 20:00

  • セキュリティ
  • 技術解説

個人情報保護法とセキュリティ対策

2005年2月23日 20:00

  • セキュリティ
  • 技術解説
バックナンバーをもっと見る

この記事の筆者

遠藤 洋輔

ミラクル・リナックス株式会社

某SIベンダーにて、Linuxやネットワーク、セキュリティ関連の構築・運用を担当後、2003年よりミラクル・リナックス社に在席。現在、MIRACLE HiZARDの検証からサポート、営業支援などを担当。

遠藤 洋輔 のプロフィールを見る

面 和毅

日本SELinuxユーザ会 LIDS支部

1997年よりサーバ構築及びセキュリティ全般を扱う仕事に従事し、Linuxを触り始める。現在LIDSの 布教活動に力を入れており、SELinuxユーザ会内でLIDS支部を立ち上げている。活動として、LIDS関連文書の日本語化と、LIDSを用いたシス テム構築の紹介を行っている。

面 和毅 のプロフィールを見る

筆者の人気記事

セキュアOS紹介(1) 〜 MIRACLE HiZARDとLIDS

2005年3月9日 20:00

業界情報やナレッジが詰まったメルマガやソーシャルぜひご覧ください

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

これは広告です

新着記事

位置情報の基本中の基本となる「点」の情報の扱い方を学ぼう 6:30 Kubernetesコミュニティのグループ構成と活動領域の見つけ方 6:30 AIには別の顔を見せるWebサイト: エージェントを狙う間接プロンプトインジェクション 12月4日 6:30 【CNDW2025】なぜCloudNative DevSecOpsを推進するのか? 米軍の事例が示す「速度と安全性」の必然 12月4日 6:00 【序論】なぜ今、監視は「再発見」されるのか 12月3日 6:30

人気記事トップ10

外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう AI搭載のスマートグラス「Even G2」が国内発売ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? オープンソースの電子書籍管理ソフト「Calibre 8.15」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 「Rocky Linux 10.1」リリース IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 米Red Hat、「Red Hat Enterprise Linux 9.7」を発表 AI時代のエンジニアに求められるものとは?「生き残る」ためのキャリア戦略
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 【序論】なぜ今、監視は「再発見」されるのか 「AIを導く」のはオープンソース ー実証に基づいた明確な解を示したレポート「ソブリンAIの現状」を公開 Linuxカーネル「Linux 6.18」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 世界中の「欲しい」を10秒で叶える ─株式会社SAZOが描く越境ECの新時代 「Terraform」でコードをモジュール化して、環境を分離することで適切に管理しよう IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 【序論】なぜ今、監視は「再発見」されるのか
人気記事ランキングをもっと見る

企画広告も役立つ情報バッチリ! Sponsored

新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 1月15日 6:30 AIで激変する「DevOpsの未来」と「IT組織のリーダーが備えるべきこと」とは 2024年11月26日 8:53 仕様書からテストケースを自動生成! Autify Genesisが変えるソフトウェアテストの未来 2024年11月21日 8:04 LLMを自由に切り替え! Kongが提案するAIゲートウェイ活用法 2024年11月15日 6:12