第5回 Referenceポリシーの作成と動作テスト

古田 真己
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
2006/6/17

 SELinuxのこれからの展開

 セキュリティコンテキストに情報の機密度に合わせたラベルを追加した考え方として、FC5からは標準でMultiLevelSecurity(MLS)とMultiCategorySecurity(MCS)が採り入れられました。

 MLSはセキュリティを階層構造でとらえるもので、上下関係によって情報のやりとりに制約を課します。機密情報の漏えいを防ぐために考えられた仕組みで、下位のレイヤに情報が漏れません。

図1 MLS

 MCSは、セキュリティをカテゴリでとらえるもので、自分が属していないカテゴリの情報へのアクセスを制限するものです。こちらも、機密情報の漏えいを防ぐために考えられた仕組みです。

図2 MCS

 このほか、ポリシーの解析を行うためにApol(SELinux Policy Analysis)が使用できるようになりました。Apolは、setools-guiパッケージに含まれていて、/usr/sbin/apolにインストールされます。Tcl/Tkを使用したGUIツールで情報フローや、ドメイン遷移の解析、特定のドメインがアクセス可能な範囲を検索できます。

 情報フローについては、ドメイン間の情報の伝達経路とその内容を解析できます。ファイルの内容が参照できるほか、ディレクトリの内容の閲覧、シグナルの送信、Rawデバイスの内容の読み取りなどについて詳しく知ることができます。

 ドメイン遷移については、遷移元のドメインを指定するだけでどのドメインに遷移できるかを出力できます。その際にどこが関連している記述なのかも表示されます。

4/4
  

Index
Referenceポリシーの作成と動作テスト
  Page1
ドメイン名を考える
  Page2
実行ファイルのタイプを考える
インターフェイスを考える
モジュールの作成
ログの再確認と修正
  Page3
FC5におけるポリシーソースのインストール方法
新しくなったaudit2allowによる設定方法
Page4
SELinuxのこれからの展開


Profile
古田 真己(ふるた まさき)

サイオステクノロジー株式会社
インフラストラクチャービジネスユニット Linuxテクノロジー部
OSSテクノロジーグループ

 学生時代にUNIXマシン欲しさ、触りたさに秋葉原へ通い詰める。秋葉原でAT互換機や中古UNIXマシンの販売などを経て、IT業界に転職。その後Linuxのエンタープライズ分野での性能評価や、構築案件などを経験し、2004年にテンアートニ(現・サイオステクノロジー)入社。RedHat Linuxのサポート業務、構築案件に取り組んできた。

 現在はサイオステクノロジーでSELinuxの調査・研究、ビジネスでの普及活動に注力している。

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間
@IT