Submit Search
Upload
SELinuxの課題について
•
Download as PPTX, PDF
•
2 likes
•
1,185 views
A
Atsushi Mitsu
Follow
SELinuxをきちんと使おうとすると情報が少ないです。情報を持ち寄れると良いですね
Read less
Read more
Technology
Report
Share
Report
Share
1 of 36
Download now
Recommended
企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項
Atsushi Mitsu
そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?
Atsushi Mitsu
systemdを始めよう
systemdを始めよう
Preferred Networks
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Hirotaka Sato
Linux デスクトップ環境のセキュリティを考えてみる
Linux デスクトップ環境のセキュリティを考えてみる
Kenichiro MATOHARA
hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版
Hiroki Ishikawa
DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所
hdais
Linuxのsemaphoreとmutexを見る
Linuxのsemaphoreとmutexを見る
wata2ki
Recommended
企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項
Atsushi Mitsu
そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?
Atsushi Mitsu
systemdを始めよう
systemdを始めよう
Preferred Networks
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Hirotaka Sato
Linux デスクトップ環境のセキュリティを考えてみる
Linux デスクトップ環境のセキュリティを考えてみる
Kenichiro MATOHARA
hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版
Hiroki Ishikawa
DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所
hdais
Linuxのsemaphoreとmutexを見る
Linuxのsemaphoreとmutexを見る
wata2ki
OpenStackで始めるクラウド環境構築入門
OpenStackで始めるクラウド環境構築入門
VirtualTech Japan Inc.
initramfsについて
initramfsについて
Kazuhiro Nishiyama
Android起動周りのノウハウ
Android起動周りのノウハウ
chancelab
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
Emma Haruka Iwao
自宅k8s/vSphere入門
自宅k8s/vSphere入門
富士通クラウドテクノロジーズ株式会社
20190926_Try_RHEL8_NVMEoF_Beta
20190926_Try_RHEL8_NVMEoF_Beta
Kohei KaiGai
第9回ACRiウェビナー_セック/岩渕様ご講演資料
第9回ACRiウェビナー_セック/岩渕様ご講演資料
直久 住川
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
VirtualTech Japan Inc.
Openv switchの使い方とか
Openv switchの使い方とか
kotto_hihihi
SR-IOV Networking in OpenStack - OpenStack最新情報セミナー 2016年3月
SR-IOV Networking in OpenStack - OpenStack最新情報セミナー 2016年3月
VirtualTech Japan Inc.
10年効く分散ファイルシステム技術 GlusterFS & Red Hat Storage
10年効く分散ファイルシステム技術 GlusterFS & Red Hat Storage
Etsuji Nakai
レガシーコード改善のススメ
レガシーコード改善のススメ
Akira Hirasawa
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
Kuniyasu Suzaki
GPU Container as a Service を実現するための最新OSS徹底比較
GPU Container as a Service を実現するための最新OSS徹底比較
NTT Communications Technology Development
Oracle Database 11g Release 2 PSR 11.2.0.4 のご紹介
Oracle Database 11g Release 2 PSR 11.2.0.4 のご紹介
オラクルエンジニア通信
OpenStack-Ansibleで作るOpenStack HA環境 手順書解説 - OpenStack最新情報セミナー 2016年3月
OpenStack-Ansibleで作るOpenStack HA環境 手順書解説 - OpenStack最新情報セミナー 2016年3月
VirtualTech Japan Inc.
Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎
Tetsuya Yokoyama
不揮発メモリ(NVDIMM)とLinuxの対応動向について
不揮発メモリ(NVDIMM)とLinuxの対応動向について
Yasunori Goto
20221021_JP5.0.2-Webinar-JP_Final.pdf
20221021_JP5.0.2-Webinar-JP_Final.pdf
NVIDIA Japan
OpenStackを一発でデプロイ – Juju/MAAS - OpenStack最新情報セミナー 2015年2月
OpenStackを一発でデプロイ – Juju/MAAS - OpenStack最新情報セミナー 2015年2月
VirtualTech Japan Inc.
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
Hirofumi Ichihara
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
VirtualTech Japan Inc.
More Related Content
What's hot
OpenStackで始めるクラウド環境構築入門
OpenStackで始めるクラウド環境構築入門
VirtualTech Japan Inc.
initramfsについて
initramfsについて
Kazuhiro Nishiyama
Android起動周りのノウハウ
Android起動周りのノウハウ
chancelab
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
Emma Haruka Iwao
自宅k8s/vSphere入門
自宅k8s/vSphere入門
富士通クラウドテクノロジーズ株式会社
20190926_Try_RHEL8_NVMEoF_Beta
20190926_Try_RHEL8_NVMEoF_Beta
Kohei KaiGai
第9回ACRiウェビナー_セック/岩渕様ご講演資料
第9回ACRiウェビナー_セック/岩渕様ご講演資料
直久 住川
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
VirtualTech Japan Inc.
Openv switchの使い方とか
Openv switchの使い方とか
kotto_hihihi
SR-IOV Networking in OpenStack - OpenStack最新情報セミナー 2016年3月
SR-IOV Networking in OpenStack - OpenStack最新情報セミナー 2016年3月
VirtualTech Japan Inc.
10年効く分散ファイルシステム技術 GlusterFS & Red Hat Storage
10年効く分散ファイルシステム技術 GlusterFS & Red Hat Storage
Etsuji Nakai
レガシーコード改善のススメ
レガシーコード改善のススメ
Akira Hirasawa
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
Kuniyasu Suzaki
GPU Container as a Service を実現するための最新OSS徹底比較
GPU Container as a Service を実現するための最新OSS徹底比較
NTT Communications Technology Development
Oracle Database 11g Release 2 PSR 11.2.0.4 のご紹介
Oracle Database 11g Release 2 PSR 11.2.0.4 のご紹介
オラクルエンジニア通信
OpenStack-Ansibleで作るOpenStack HA環境 手順書解説 - OpenStack最新情報セミナー 2016年3月
OpenStack-Ansibleで作るOpenStack HA環境 手順書解説 - OpenStack最新情報セミナー 2016年3月
VirtualTech Japan Inc.
Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎
Tetsuya Yokoyama
不揮発メモリ(NVDIMM)とLinuxの対応動向について
不揮発メモリ(NVDIMM)とLinuxの対応動向について
Yasunori Goto
20221021_JP5.0.2-Webinar-JP_Final.pdf
20221021_JP5.0.2-Webinar-JP_Final.pdf
NVIDIA Japan
OpenStackを一発でデプロイ – Juju/MAAS - OpenStack最新情報セミナー 2015年2月
OpenStackを一発でデプロイ – Juju/MAAS - OpenStack最新情報セミナー 2015年2月
VirtualTech Japan Inc.
What's hot
(20)
OpenStackで始めるクラウド環境構築入門
OpenStackで始めるクラウド環境構築入門
initramfsについて
initramfsについて
Android起動周りのノウハウ
Android起動周りのノウハウ
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
自宅k8s/vSphere入門
自宅k8s/vSphere入門
20190926_Try_RHEL8_NVMEoF_Beta
20190926_Try_RHEL8_NVMEoF_Beta
第9回ACRiウェビナー_セック/岩渕様ご講演資料
第9回ACRiウェビナー_セック/岩渕様ご講演資料
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
Openv switchの使い方とか
Openv switchの使い方とか
SR-IOV Networking in OpenStack - OpenStack最新情報セミナー 2016年3月
SR-IOV Networking in OpenStack - OpenStack最新情報セミナー 2016年3月
10年効く分散ファイルシステム技術 GlusterFS & Red Hat Storage
10年効く分散ファイルシステム技術 GlusterFS & Red Hat Storage
レガシーコード改善のススメ
レガシーコード改善のススメ
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
GPU Container as a Service を実現するための最新OSS徹底比較
GPU Container as a Service を実現するための最新OSS徹底比較
Oracle Database 11g Release 2 PSR 11.2.0.4 のご紹介
Oracle Database 11g Release 2 PSR 11.2.0.4 のご紹介
OpenStack-Ansibleで作るOpenStack HA環境 手順書解説 - OpenStack最新情報セミナー 2016年3月
OpenStack-Ansibleで作るOpenStack HA環境 手順書解説 - OpenStack最新情報セミナー 2016年3月
Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎
不揮発メモリ(NVDIMM)とLinuxの対応動向について
不揮発メモリ(NVDIMM)とLinuxの対応動向について
20221021_JP5.0.2-Webinar-JP_Final.pdf
20221021_JP5.0.2-Webinar-JP_Final.pdf
OpenStackを一発でデプロイ – Juju/MAAS - OpenStack最新情報セミナー 2015年2月
OpenStackを一発でデプロイ – Juju/MAAS - OpenStack最新情報セミナー 2015年2月
Similar to SELinuxの課題について
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
Hirofumi Ichihara
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
VirtualTech Japan Inc.
Openstack ceph 20171115 vtj
Openstack ceph 20171115 vtj
Takehiro Kudou
第24回「IBM STGエバンジェリスト座談会 2013年のインフラエンジニアの生き方」(2013/01/17 on しすなま!)
第24回「IBM STGエバンジェリスト座談会 2013年のインフラエンジニアの生き方」(2013/01/17 on しすなま!)
System x 部 (生!) : しすなま! @ Lenovo Enterprise Solutions Ltd.
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド
EMC Japan
Windows Server 2016上でLinuxコンテナが動いた!
Windows Server 2016上でLinuxコンテナが動いた!
Takashi Kanai
Open Shift v3 主要機能と内部構造のご紹介
Open Shift v3 主要機能と内部構造のご紹介
Etsuji Nakai
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
Shinya Sugiyama
OSS光と闇
OSS光と闇
Hirofumi Ichihara
Hinemos ver.6.0 クラウド・仮想化環境の運用管理
Hinemos ver.6.0 クラウド・仮想化環境の運用管理
Hinemos
Try IoT with Node-RED
Try IoT with Node-RED
Kimihiko Kitase
Monitoring あれこれ
Monitoring あれこれ
Norio Sashizaki
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
VirtualTech Japan Inc.
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうか
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうか
Chihiro Ito
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み
Recruit Technologies
20170804 IOS/IOS-XE運用管理機能アップデート
20170804 IOS/IOS-XE運用管理機能アップデート
Kazumasa Ikuta
IOS/IOS-XE 運用管理機能アップデート
IOS/IOS-XE 運用管理機能アップデート
シスコシステムズ合同会社
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
Takashi Matsunaga
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション
NTT Software Innovation Center
DeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechcon
DeNA
Similar to SELinuxの課題について
(20)
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
Openstack ceph 20171115 vtj
Openstack ceph 20171115 vtj
第24回「IBM STGエバンジェリスト座談会 2013年のインフラエンジニアの生き方」(2013/01/17 on しすなま!)
第24回「IBM STGエバンジェリスト座談会 2013年のインフラエンジニアの生き方」(2013/01/17 on しすなま!)
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド
Windows Server 2016上でLinuxコンテナが動いた!
Windows Server 2016上でLinuxコンテナが動いた!
Open Shift v3 主要機能と内部構造のご紹介
Open Shift v3 主要機能と内部構造のご紹介
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
OSS光と闇
OSS光と闇
Hinemos ver.6.0 クラウド・仮想化環境の運用管理
Hinemos ver.6.0 クラウド・仮想化環境の運用管理
Try IoT with Node-RED
Try IoT with Node-RED
Monitoring あれこれ
Monitoring あれこれ
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうか
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうか
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み
20170804 IOS/IOS-XE運用管理機能アップデート
20170804 IOS/IOS-XE運用管理機能アップデート
IOS/IOS-XE 運用管理機能アップデート
IOS/IOS-XE 運用管理機能アップデート
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション
DeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechcon
Recently uploaded
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
Recently uploaded
(8)
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
SELinuxの課題について
1.
© Hitachi, Ltd.
2017. All rights reserved. CSS 2017 企画セッション オープンソースソフトウェア(OSS)のセキュリティ技術について 2017/10/25 株式会社 日立製作所 OSSソリューションセンタ 飯島正人 最新のLinuxセキュリティ技術の動向・課題 Part2: SELinuxの課題について
2.
© Hitachi, Ltd.
2017. All rights reserved. 1 本日の内容 1.SELinuxの現状と課題 2.RBAC機能 3.SELinuxのテスト 4.日立の取り組み
3.
© Hitachi, Ltd.
2017. All rights reserved. 2 1.SELinuxの現状と課題
4.
© Hitachi, Ltd.
2017. All rights reserved. 3 ・最近の脆弱性多発に対応する手段として再注目 ・IoT、コンテナ技術のセキュリティ問題で再注目 1.SELinuxの現状と課題 ・Technology radar (https://www.thoughtworks.com/radar) Platforms に急に登場。「ADOPT(推奨できるレベル)」 ・OSSセキュリティ技術の会のイベント 2017年5月16日に「OSSセキュリティ技術の会」主催の第一回勉強会 「闘将(たたかえ)!! SELinuxの巻」を開催。 19時スタートにも関わらず、140名近い参加者! 参照URL https://thinkit.co.jp/article/11947 ・連載:IoT時代の最新SELinux入門(日経BP社) 著者:中村雄一、面 和毅 協力:OSSセキュリティ技術の会 参照URL http://itpro.nikkeibp.co.jp/atcl/column/17/041900153/
5.
© Hitachi, Ltd.
2017. All rights reserved. 4 再注目されているはずなのに 企業システムに導入した事例は聞かない 導入は進んでいるのか? 1.SELinuxの現状と課題
6.
© Hitachi, Ltd.
2017. All rights reserved. 5 1.SELinuxの現状と課題 本番環境への導入はしていないが、 検証されている方はいます 本番環境への導入を検討中の お客様もいます
7.
© Hitachi, Ltd.
2017. All rights reserved. 6 1.SELinuxの現状と課題 導入が進まない理由として、 企業システムへSELinuxを適用させる ための情報不足が挙げられます 今回は、情報量の少ない下記について 考察していきます RBAC機能 SELinuxのテスト
8.
© Hitachi, Ltd.
2017. All rights reserved. 7 2.RBAC機能
9.
© Hitachi, Ltd.
2017. All rights reserved. 8 SELinuxを「有効」にすれば、TE(TypeEnforce ment)によりプロセスには制限が掛かります 2.1 SELinuxを導入した環境(現状) ポリシーにない アクセスは拒否 感染/潜伏(環境調査)/拡散 踏み台にしての攻撃 攻撃者 ユーザ サーバ ユーザ ユーザ 攻撃/不正侵入されても被害を限定化 SELinux 「有効」 ほとんどの場合、ここで終わってます
10.
© Hitachi, Ltd.
2017. All rights reserved. 9 じつは・・・ rootアカウントは、SELinuxの制限を ほぼ受けないunconfined_tドメインで 動作しています rootアカウントのSELinuxコンテキスト # id -Z unconfined_u:unconfined_r:unconfined_t 2.2 rootアカウントは制限を受けない (SELinuxユーザ) (ロール) (ドメイン)
11.
© Hitachi, Ltd.
2017. All rights reserved. 10 ログイン名 SELinuxユーザ MLS/MCS 範囲 サービス __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * LinuxユーザとSELinuxユーザのマッピング設定(デフォルト設定) SELinuxユーザ X Window ログイン suまたはsudo の実行 $HOMEおよび /tmpでのアプリ ケーション実行 ネットワークへの アクセス sysadm_u 可 su、sudo 可 可 staff_u 可 sudoのみ 可 可 user_u 可 不可 可 可 guest_u 不可 不可 不可 不可 xguest_u 可 不可 不可 Firefoxのみ unconfined_u 制限なし 制限なし 制限なし 制限なし SELinuxユーザの権限 2.3 SELinuxユーザ設定(デフォルト)
12.
© Hitachi, Ltd.
2017. All rights reserved. 11 何でもできる rootアカウントを奪われると SELinuxを無効化することも可能 = すべてのシステムで必要ではありませんが、 高いセキュリティが求められるシステムでは 何らかの回避策が必要 ※一般ユーザはアカウントを奪われても通常のパーミッションチェックで制限されるため、 基本的には何もできない 2.4 rootアカウントを奪われると何でもできる
13.
© Hitachi, Ltd.
2017. All rights reserved. 12 回避するには 制限の掛からない unconfined_u は使用しない rootユーザで、SELinuxの制御をできないようにする 2.5 回避策の検討 役割(ロール)に応じたアクセス権の付与ができる機能 rootユーザに対しても操作可能な範囲を制限できる 運用管理向けのロールがデフォルトで準備されている RBACとは RBAC(Role Based Access Control)機能を利用する ことで実現できます
14.
© Hitachi, Ltd.
2017. All rights reserved. 13 運用管理向けのロール 役割 ロール名 説明 Web管理者 webadm_r Apache HTTPサーバに関連するSELinuxタイプの管理のみ可能 DB管理者 dbadm_r MariaDBデータベースおよびPostgreSQLデータベース管理システ ムに関連するSELinuxタイプの管理のみ可能 ログ管理者 logadm_r syslogおよびauditlogプロセスに関連するSELinuxタイプの管理の み可能 SELinux管理者 secadm_r SELinuxの管理のみ可能 監査システム 管理者 auditadm_r auditサブシステムに関連するプロセスの管理のみ可能 SELinuxの仕様で、同時に有効となるロールは1つ Linux ユーザ SELinux ユーザ Web管理者 ロール DB管理者 ロール 有効になるのは どちらか1つWebサーバの管理を行う時と DBサーバの管理を行う時で ロールを切り替える必要がある 2.6 RBAC機能 Webサーバ DBサーバ
15.
© Hitachi, Ltd.
2017. All rights reserved. 14 RBAC機能を利用した構成を考えました 制限の掛からない unconfined は使用禁止 攻撃者に狙われやすいrootは一般ユーザ化 特権を分散し、アカウントを奪われた場合の 影響を限定化 SELinuxの管理は専用ユーザで実施 運用に必要な権限も専用ユーザに付与 2.7 RBAC機能を利用して回避 観点
16.
© Hitachi, Ltd.
2017. All rights reserved. SELinuxドメインSELinuxロールSELinuxユーザ 15 unconfined_runconfined_u unconfined_t user_u user_r user_t 制限のない unconfined は使用禁止 一般ユーザ権限 root 一般ユーザ RBAC適用イメージ 制限のないunconfinedの使用禁止 rootの一般ユーザ化 ※一般ユーザもrootユーザと同様に制限 2.8 rootアカウントの一般ユーザ化
17.
© Hitachi, Ltd.
2017. All rights reserved. SELinuxドメインSELinuxロールSELinuxユーザ 16 secadm_u SELinux管理者 (secadm_r) SELinux管理者 (secadm_t) SELinux管理者 RBAC適用イメージ SELinux管理者の専用ユーザ化 2.9 SELinux管理者の専用ユーザ化
18.
© Hitachi, Ltd.
2017. All rights reserved. 17 運用担当者のように複数の権限を必要とする場合 ロールを切り替えて使う 複数の権限を持った独自のロールを作る SELinuxドメインSELinuxロールSELinuxユーザ 運用担当者_u web管理者 (webadm_r) web管理者 (webadm_t) 運用担当者 DB管理者 (dbadm_r) DB管理者 (dbadm_t) ログ管理者 (logadm_r) ログ管理者 (logadm_t) 必要権限に合わせて ロールを切り替え <ロール切り替えパターン> RBAC適用イメージ 運用担当者の専用ユーザ化 2.10 運用担当者の専用ユーザ化(1)
19.
© Hitachi, Ltd.
2017. All rights reserved. SELinuxドメインSELinuxロールSELinuxユーザ 18 独自のロールを作成する場合は、対応するドメインに必要な権限を 調査しポリシーに登録する 運用担当者_u 運用担当者_r 運用担当者_t 運用担当者 <独自ロール作成パターン> SELinux ポリシー 必要な権限を抽出 ・web管理者(webadm_t) ・DB管理者(dbadm_t) ・ログ管理者(logadm_t) 運用担当者ドメイン(運用担当者_t)用に ポリシーを修正 ポリシー登録 権限の割り当てが必要 2.10 運用担当者の専用ユーザ化(2)
20.
© Hitachi, Ltd.
2017. All rights reserved. 19 背景 RBAC機能については、今のところほとんど情報が出回っていません RBAC機能を適用した基本的なモデルも公開されていないのが現状です 元々の適用事例が少ないと推測される システム構成や業務運用内容によって構成が異なる 運用管理のキー項目になるため、企業として情報が出しにくい などの理由があります しかし、高いセキュリティを求めるシステムでは必要な機能です 2.11 RBACの課題 RBAC機能の導入を推進していくためには、RBAC機能を適用した構成の 標準化が必要です。 今回、RBAC機能を適用した構成の一例をご紹介しましたが、もっと良い 構成が考えられると思います。 松竹梅のようにセキュリティをレベル分けし、基本モデルとパーミッション の割り当て方式などを検討してみてください。 また、特権の分散を細分化する手法について研究し、基本モデルを作成して みてください。 課題
21.
© Hitachi, Ltd.
2017. All rights reserved. 20 3.SELinuxのテスト
22.
© Hitachi, Ltd.
2017. All rights reserved. 21 Webサーバで、デフォルトの静的コンテンツ保存場所以外に新規Webサイ ト用ディレクトリを作成した場合、SELinuxによるアクセス拒否が発生し ます。 静的コンテンツ保存場所(デフォルト) 新規Webサイト用静的コンテンツ保存場所 /(ルート) /var/www/html /website_A/html タイプ:httpd_sys_content_t タイプ:default_t Web表示 方式 内容 影響 booleanの有効化 該当するbooleanなし - タイプ変更 タイプを httpd_sys_content _t に変更 他のアプリからアクセスでき なくなる可能性あり ポリシー追加 httpd_t ドメインがアクセス 可能となるように default_t にポリシーを追加 タイプ default_t を持つディ レクトリ/ファイル全てにア クセス権が付与される 3.1 SELinuxによるアクセス拒否を回避する設定の影響 アクセス拒否を回避する設定方式とその影響
23.
© Hitachi, Ltd.
2017. All rights reserved. 22 3.2 SELinux設定変更後のテストは必須 アクセス拒否を回避する設定を行うと 他のアプリからのアクセス不可 セキュリティの低下 といった問題が発生する可能性があります 軽微な修正でもテストが必要です
24.
© Hitachi, Ltd.
2017. All rights reserved. 23 3.3 テストの方式と妥協点(1) 設計した内容については、検証可能 運用で発生する操作やアクセス 重要なデータがあり、守られるよう設計した部分 テストには課題があります 設計していない部分は、検証できない デフォルトで登録されているポリシーが多すぎる 時間を掛ければ全ポリシーの検証も出来そうでは あるが・・・ 検証自体が難しい項目も
25.
© Hitachi, Ltd.
2017. All rights reserved. 24 システムテストですべての業務や運用の テストをすればOK? 違います 3.3 テストの方式と妥協点(2)
26.
© Hitachi, Ltd.
2017. All rights reserved. 25 業務や運用で発生する操作やアクセスについては、 確認できます 3.3 テストの方式と妥協点(3) 問題は設計/テストしていない部分 アクセス拒否の回避設定の内容によっては、 セキュリティが甘くなっている場合があります 設定変更する際に見落とすと、以降、気付かない で埋もれてしまう可能性も高い OS、導入パッケージの脆弱性について、テスト できていない
27.
© Hitachi, Ltd.
2017. All rights reserved. 26 時間を掛けてすべてのポリシーをテスト ポリシー通りに動けばOK? これも違います 3.3 テストの方式と妥協点(4)
28.
© Hitachi, Ltd.
2017. All rights reserved. 27 アクセスが許可されているもの = セキュリティが守られているとは 限りません ポリシーにあるもの 3.3 テストの方式と妥協点(5)
29.
© Hitachi, Ltd.
2017. All rights reserved. 28 背景 SELinuxの特性上、ポリシーに書かれていないアクセスは全て拒否となりま す。逆に言えば、ポリシーに書かれているアクセスは許可されています。 ポリシーの設定変更を行った場合、設定内容によってはセキュリティが甘く なることがありますが、結合テストやシステムテスト、運用テストでは、想 定しているリスクや必要な操作・アクセスについての確認となるため、想定 していない部分については見つけられない可能性が高いです。 3.4 SELinuxテストの課題 セキュリティが甘くなったかどうかはシステムによって違うため、検出する ことは不可能です。 そのため、OSや各種OSSで、ここだけは守らなければならないという部分 を整理し、テストする手法を研究してみてください。 また、 JVNやUS-CERTなどの脆弱性情報を収集し、SELinuxで守れるか、 守れないかテストするような手法も研究してみてください。 課題
30.
© Hitachi, Ltd.
2017. All rights reserved. 29 3.5 まとめ 今回、取り上げさせていただいた ・RBAC機能 ・SELinuxのテスト については、企業のシステムにSELinuxを導入していくためには、 必要な情報です。 ぜひ、研究して論文公開など行ってみてください 運用やテストといった項目は、今までほとんど情報がなく、手が 出しにくかった分野です。 標準化した内容が公開されると、基本モデルとして取り入れられ、 本格的にSELinuxの導入を検討する企業も増えると思われます。 これをきっかけに企業でSELinuxの導入が進んでいくことを期待 しています
31.
© Hitachi, Ltd.
2017. All rights reserved. 30 4.日立の取り組み
32.
© Hitachi, Ltd.
2017. All rights reserved. 31 SELinuxをより使いやすくするための足掛かりとして、 以下のツールを近日公開予定 4.1 日立で公開予定のツール https://github.com/Hitachi/selinux-info-viewer ■SELinux Type Enforcement Lookup ドメイン(プロセス)がアクセスできるディレクトリやファイル の一覧を取得するツール ■SELinux Information Viewer SELinuxに関する情報を取得し、ブラウザで表示するツール https://github.com/Hitachi/selinux-te-lookup ツールは MIT License です、自由に使ってください 使い勝手を良くするための改変や機能追加など歓迎します
33.
© Hitachi, Ltd.
2017. All rights reserved. 32 ドメインがアクセスできるディレクトリやファイルの一覧を取得 するツール 従来は、sesearchやsemanageコマンド、Attributeがあれば展 開するなど複雑な操作が必要であったが、コマンド1つで取得す ることが可能となります 4.2 SELinux Type Enforcement Lookup 例)ftpd_tドメインのプロセスが書き込みできるディレクトリの一覧を取得 # sudo python selinux-te-lookup.py 'ftpd_t' --perm write --class 'dir' --only-ok # cat result.csv File-Context-Pattern,File-Context-Target-Type,File-Context-Label,Matched-File-Path,File-Type,File-Label, SAME-SELinux-Type /dev/shm,directory,system_u:object_r:tmpfs_t:s0,/dev/shm,d,system_u:object_r:tmpfs_t:s0,OK /run,directory,system_u:object_r:var_run_t:s0,/run,d,system_u:object_r:var_run_t:s0,OK /run/.*,all files,system_u:object_r:var_run_t:s0,/run/netreport,d,system_u:object_r:var_run_t:s0,OK /run/.*,all files,system_u:object_r:var_run_t:s0,/run/sysconfig,d,system_u:object_r:var_run_t:s0,OK /run/.*,all files,system_u:object_r:var_run_t:s0,/run/tmpfiles.d,d,system_u:object_r:var_run_t:s0,OK :
34.
© Hitachi, Ltd.
2017. All rights reserved. 33 SELinuxに関する情報を取得し、ブラウザで表示するツール 情報取得ツールとWeb表示用DB構成ツールは別ツールのため、本番 環境など占有できないマシンについても、ビューワで設定を参照する ことが可能 4.3 SELinux Information Viewer
35.
© Hitachi, Ltd.
2017. All rights reserved. ■Red Hatは,米国およびその他の国でRed Hat, Inc. の登録商標 もしくは商標です。 ■Linux(R) は、米国およびその他の国における Linus Torvalds 氏 の登録商標です。 ■SELinuxは米国及びその他の国におけるNational Security Agenc yの登録商標です。 ■HITACHIは、株式会社 日立製作所の商標または登録商標です。 ■記載の会社名、製品名は、それぞれの商標もしくは登録商標です。 34 他社所有商標に関する表示
Download now