第8回 Multi Level Securityで機密ファイルを管理する
古田 真己サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
2006/11/28
社内機密ファイルの運用・管理をMLSで実現
MLSの活用例として、機密ファイルがいっぱい詰まったファイルサーバを考えてみることにしましょう。このファイルサーバ上ではVNCサーバが動作しており、機密ファイルへのアクセス方法はWindowsデスクトップからのVNC接続だけに制限されています。
|
|
| 図2 重要情報の管理 |
つまり、リモートからログインするユーザーはすべてSELinux(MLS)のルールに従って、機密ファイルへのアクセスを管理されることになります。
それでは、実際の環境設定を始めてみましょう。
インストールとRaw Hideへのアップデート
正式リリースされたFC-6-i386-DVD.isoを使用してインストールします。パッケージの選択画面ではOpenOffice.org関連のパッケージを追加しておいてください。あとは、特に変更点はなくインストールを終了します。
再起動後の初期設定時(Firstboot)ではSELinuxをPermissiveモードに設定してください。ログイン後には「yum upgrade」を行い、FC6を最新の状態にしてください。
●Raw Hide(開発バージョン)へのアップデート
今回の作業に当たり、さまざまな修正が適用されている開発バージョンにアップデートする必要があります。
Raw Hideへのアップデートには、まず開発版のFedoraリリースRPMパッケージをインストールして、アップデート用のYumリポジトリを更新した後、さらに「yum upgrade」を実行する必要があります。
| [root@localhost ~]# wget ftp://download.fedora.redhat.com/pub/fedora/linux/core/ development/i386/os/Fedora/RPMS/fedora-release-6-89.noarch.rpm ← ここでは「download.fedora.redhat.com」から取得する例だが、実際には近いミラーサーバから取得するのが望ましい [root@localhost ~]# rpm -Uvh --nodeps fedora-release-6-89.noarch.rpm ← fedora-release-noteパッケージとの依存関係のエラーが出るため、「--nodeps」でインストールする |
| 図3 リリースRPMパッケージの入手とインストール |
リリースファイルをインストールしたら、「yum upgrade」を実行して、気長に待ってください。もし、作業実施日のRaw Hideの依存関係が壊れているときはうまくアップデートできませんので、別の日に試すか、自分でパッケージの競合を手で取り除いてください【注1】。
| 【注1】 Raw Hide(開発版)は必ずしもパッケージを正しくアップデートできません。この作業自体とても危険なので、今回の環境を再現したい場合は、必ずテスト機を用意して行ってください |
サーバ側接続環境のセットアップ
今回の環境では、リモートからVNCで接続して、XDMCPでログインします。リモート接続用のxinetd用とVNCの設定ファイルを、以下のパッケージでFC6の標準インストールに追加します。
パッケージ名 |
内容 |
| xinetd-2.3.14-8 | xinetdインターネットスーパーサーバ |
| vnc-ltsp-config-4.0.3 | VNCをxinetdから起動するためのコンフィギュレーションファイル |
| 表3 追加パッケージ |
「yum -y install vnc-ltsp-config」でインストールを行えば、依存関係を含めて解決してくれます。
●gdmの追加設定
次にFC6標準のgdmへのログイン設定を行います。デフォルトの設定ではXDMCPでのログインは許可されていないため、以下の設定を/etc/gdm/custom.confへ追加します。
設定はcustom.confの[security][xdmcp]の項目に対して行います。今回は、LAN内であることと、SELinuxの設定をrootで簡単に行いたいことから、それに合わせて設定を記述します。
|
[security] DisallowTCP=false ← TCP接続を有効にする AllowRoot=true ← rootユーザーでのログインを有効にする AllowRemoteRoot=true ← リモートからのrootユーザーでのログインを有効にする |
| 図4 [security]項目への追加 |
| [xdmcp] Enable=true |
| 図5 [xdmcp]項目への追加 |
●/etc/inittabへの変更
そのほか、ランレベル3での起動、gdm起動の設定が必要です。
|
id:3:initdefault: ← 起動時のランレベル“5”から“3”へ変更する(13行目) : x:2345:respawn:/etc/X11/prefdm -nodaemon ← prefdm(デフォルトはgdm)の起動ランレベルを“5”から“2345”へ変更する(53行目) |
| 図6 デフォルトランレベルの変更とgdmの起動設定 |
●/etc/fs/configへの追加設定
最後にXフォントサーバ(xfs)を使用できるようにします。
| #no-listen = tcp ← TCP接続を許可するために、コメントアウトする(33行目) |
| 図7 Xフォントサーバの接続設定 |
 |
2/4 |
 |
| Index | |
| Multi Level Securityで機密ファイルを管理する | |
| Page1 FC6のリリースとSELinux |
|
 |
Page2 社内機密ファイルの運用・管理をMLSで実現 インストールとRaw Hideへのアップデート サーバ側接続環境のセットアップ |
| Page3 実際の動作をテストする セキュリティコンテキストを調整する |
|
| Page4 システムへのログインと実行ドメインの確認 運用に合わせたポリシーの修正と変更 重要ドキュメントとユーザーの管理 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
