第3回 Referenceポリシーを設定してみよう
古田 真己サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
2006/2/9
第2回「構成が大きく変わったセキュリティポリシー 2.x系」では新しく採用されるReferenceポリシーのセットアップ方法までを解説しました。今回は設定方法の詳細について見ていきましょう。
ポリシー記述の必要性
Fedora CoreにおけるSELinuxの設定のデフォルトはTargetedポリシー(第1回参照)になっており、必要なサービス以外についてはSELinuxのアクセス制御は導入されていません。このため、新しいサービスの導入・設定に関して、あまりSELinuxのことを考えずとも動作させることができるようになっています。その設定方針は今回触れる開発版であるRaw Hideにも当てはまります。
SELinuxのポリシー設定を見直し、記述する必要があるのは、Targetedポリシーで保護されたサービスに対して新しい設定を追加または変更する場合と、新しく導入したサービスに対してSELinuxのアクセス制御を適用したい場合です。今回は保護されたサービスに対して新しい設定を追加する場合を想定し、その手順について説明したいと思います。
ポリシー設定のモデルケース
SELinuxのポリシーを記述し、有効にするためには、以下のようなステップを踏むのがよいと思います。順に説明します。
0.動作環境の変更
新しい設定の追加や変更、サービスを導入する
SELinuxを無効(Permissiveモード)に設定し、正しく動作することを確認する
1.現状の動作を把握
SELinuxを有効(Enforcingモード)に設定して動作を観察する
2.ポリシー定義上での問題部分の発見
問題が発生している部分のSELinuxの動作をAuditログから把握する
3.記述内容のまとめ
必要な権限を洗い出す
必要な権限の設定が既存のマクロに含まれていないか確認する
4.ポリシーの記述
3でまとめた内容を基にポリシーを記述する
5.テストと修正
記述した内容でポリシーをロードし、問題がある場合は修正する
| あくまでモデルケースですので、慎重に行うに越したことはありません(別途検証環境を用意して行うなど)。 |
ターゲットマシンのアプリケーション環境
今回は「0.動作環境の変更」としてRaw Hideに含まれるtomcat5(tomcat5-5.0.30-8jpp_8fc)に対して、jpackage.orgから取得してビルドしたmod_jk(mod_jk-ap20-1.2.15-2jpp)を新規導入した環境を用意しました。
| ディストリビューション | Raw Hide(2006/1/24版) |
| Linux Kernel | kernel-2.6.15-1.1871_FC5 |
| SELinux | libselinux-1.29.6-1 |
| libsemanage-1.5.15-1 | |
| libsepol-1.11.9-1 | |
| libsetrans-0.1.18-1 | |
| checkpolicy-1.28-5 | |
| policycoreutils-1.29.9-2 | |
| selinux-policy-2.2.4-1 (selinux-policy-targeted-2.2.4-1) |
|
| Referenceポリシー(2006/1/24版) | |
| Apache | httpd-2.2.0-4 |
| httpd-devel-2.2.0-4 | |
| Tomcat | tomcat5-5.0.30-8jpp_8fc |
| tomcat5-admin-webapps-5.0.30-8jpp_8fc | |
| tomcat5-jasper-5.0.30-8jpp_8fc | |
| tomcat5-jasper-javadoc-5.0.30-8jpp_8fc | |
| tomcat5-servlet-2.4-api-5.0.30-8jpp_8fc | |
| tomcat5-servlet-2.4-api-javadoc-5.0.30-8jpp_8fc | |
| tomcat5-webapps-5.0.30-8jpp_8fc | |
| mod_jk | mod_jk-ap20-1.2.15-2jpp |
| mod_jk-manual-1.2.15-2jpp | |
| mod_jk-tools-1.2.15-2jpp |
SELinuxのポリシー(selinux-policy-targeted-2.2.4-1)はCVSから取得したReferenceポリシー(2006/1/24版)を使用するため、今回は使用しません。また、起動はRunlevel3で行い、起動サービスは以下のとおりです。
| acpid | 0:off |
1:off |
2:off |
3:on |
4:on |
5:on |
6:off |
| anacron | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| auditd | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| avahi-daemon | 0:off |
1:off |
2:off |
3:on |
4:on |
5:on |
6:off |
| crond | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| cups | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| cups-config-daemon | 0:off |
1:off |
2:off |
3:on |
4:on |
5:on |
6:off |
| haldaemon | 0:off |
1:off |
2:off |
3:on |
4:on |
5:on |
6:off |
| httpd | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| irqbalance | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| messagebus | 0:off |
1:off |
2:off |
3:on |
4:on |
5:on |
6:off |
| network | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| ntpd | 0:off |
1:off |
2:off |
3:on |
4:off |
5:on |
6:off |
| postfix | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| readahead_early | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| sshd | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| syslog | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| tomcat5 | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
| xfs | 0:off |
1:off |
2:on |
3:on |
4:on |
5:on |
6:off |
|
1/2
|
 |
| Index | |
| Referenceポリシーを設定してみよう | |
 |
Page1 ポリシー記述の必要性 ポリシー設定の手順 |
| Page2 2006/1/24版Referenceポリシーの設定手順 再起動後のテスト ドキュメントの確認 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
||
|
||
|
注目のテーマ
Security & Trust 記事ランキング
- 「キミの部門で一番重大なセキュリティ脅威は何かね?」から始める“いまさら”アタックサーフェス管理のススメ
- Microsoft、「Security Copilot」でインシデント対応を支援する11のAIエージェントを発表 どう役立つのか
- 対象はWindows Server 2025、2022、2019、2016 リモートでのコード実行が可能な脆弱性を修正した更新プログラムをMicrosoftが配布
- 年3回? 4回? 標的型攻撃メール訓練の効果を最大化する「黄金ルール」とは LRMが調査
- 無料で「ランサムウェアへの対応方法」を学び、学ばせることも可能な演習用教材 IPAが公開
- 米国政府からの支援打ち切りを受け、CVE財団が発足 CVEプログラムの長期的な存続など狙い
- 「RPKI」「DNSSEC」「DMARC」のガイドライン策定に込められた思い、内容のポイントとは 作成した有識者らが解説
- 古いソフト/ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に 対策は?
- TLPT(脅威ベースペネトレーションテスト)とは、ペネトレーションテストとの違いとは
- 「透明性向上が狙い」 Mozilla、「Firefox」に利用規約を導入した理由を説明
- Google Chromeのゼロデイ脆弱性を発見、悪用されると「リンクをクリックするだけで攻撃が成立」 Kaspersky
- 無料で「ランサムウェアへの対応方法」を学び、学ばせることも可能な演習用教材 IPAが公開
- SASEが成長の原動力、2024年ネットワークセキュリティ市場シェア2位はFortinet、1位は? Omdiaレポート
- Microsoft、「Security Copilot」でインシデント対応を支援する11のAIエージェントを発表 どう役立つのか
- 経験豊富なハッカーからサイバー犯罪の初心者まで網羅する「VanHelsing」の脅威が拡大中 チェック・ポイント・ソフトウェア・テクノロジーズ
- 対象はWindows Server 2025、2022、2019、2016 リモートでのコード実行が可能な脆弱性を修正した更新プログラムをMicrosoftが配布
- 米国政府からの支援打ち切りを受け、CVE財団が発足 CVEプログラムの長期的な存続など狙い
- IPA「AIセーフティに関するレッドチーミング手法ガイド」改訂 何が変わったのか
- “闇バイト的ランサムウェア攻撃”にご用心 フィジカル空間の犯罪スキームがデジタル空間にも波及?
- 「キミの部門で一番重大なセキュリティ脅威は何かね?」から始める“いまさら”アタックサーフェス管理のススメ
転職/派遣情報を探す
