Linux勧告ウォッチ - 2005年11月11日(金)
SELinux管理
著者:Pax Dickinson
Security Enhanced Linux特集第3回にようこそ。第1回ではSELinuxの背景について、第2回ではSELinuxのアクセス決定について説明した。今週は、SELinuxシステムと標準のLinuxシステムの管理の相違点について解説する。Linuxシステムの管理に関する一般的な知識のほとんどはSELinuxシステムにもあてはまるが、SELinuxを使用する際には、重要な追加点と変更点を理解しておく必要がある。
permissiveモードとenforcingモード
問題が発生して、その問題の原因がSELinuxかどうかを見極めることが必要になる場合がある。そのような場合に備えて、SELinuxにはモードをenforcingからpermissiveに変更したり、元に戻したりする機能がある。enforcing(強制)モードは名前のとおり、SELinuxでポリシーアクセス決定を強制的に適用するモードだ。これはSELinuxの標準の操作モードである。これに対し、permissive(許容)モードは、開発やトラブルシューティングのために用意されている。このモードでも、試行された操作が許可されているかどうかがセキュリティポリシーでチェックされ、拒否の場合にはシステムログに記録されるが、実際にはどの操作も拒否されない。
permissiveモードに変更する場合は、必ずsysadm_r roleロールにログインする(詳細については前回の記事を参照)。setenforce 0コマンドを発行するとシステムはpermissiveモードになり、setenforce 1コマンドを発行するとenforcingモードに戻る。現在のSELinuxモードを確認するには、getenforceコマンドを使用する。
SELinuxを完全に無効化するには、スタートアップ時にカーネルコマンドラインにselinux=0を渡す方法がある。ただし、この場合SELinuxは完全に無効になり、新しいファイルに正しいファイルコンテキストのラベル付けがされず、SELinuxを有効化したときに再ラベル付けをしなければならなくなるので、この方法はお勧めしない。これよりはpermissiveモードを使用する方がよい。/etc/selinux/configファイルを編集して常にpermissiveモードで起動するように設定することもできる。
ファイルコンテキストのラベル付け
SELinuxシステム上の各ファイルには、拡張ファイル属性を使用するSELinuxファイルタイプが設定される。SELinuxではこれらの属性を使用することが必須であり、システム管理への影響を把握しておく必要がある。
SELinuxに使用する新しいファイルシステムをフォーマットする際には、これらの拡張属性をサポートするファイルシステムを使用する必要がある。ext2ファイルシステムとext3ファイルシステムは拡張属性をサポートしており、xfsファイルシステムも動作することがわかっているが、reiserfsには現在拡張属性サポートは含まれていない。
SELinuxシステムでファイルのバックアップをとる場合、これらの拡張属性に対応し拡張属性もバックアップできるバックアップ方式を使用する必要がある。たとえば、標準のtarコマンドでは拡張属性はバックアップされないので、代わりにstarを使用する。starはtarの拡張版なので大きな問題はないが、tarコマンドを呼び出すバックアップ スクリプトを作成している場合には付随作業が発生する。
SELinuxで発生する問題の多くは、誤ったラベルがファイルに付けられていることに起因している。不審なエラーが発生したり、誤ったラベルが付いたファイルが見つかったりした場合、最も信頼性が高い最善の対処方法は、touch /.autorelabelコマンドを発行してからリブートすることだ。これによって、システムの起動時に、ファイルを開いてサービスを開始するより前に、ラベルが付け直される。ファイルを適切なコンテキストにリストアするのにrestoreconコマンドを使用することもできるが、この場合、誤ったラベルの付いたバイナリによって開始されたプロセスの実行中コンテキストは変更されないので、問題が発生する可能性がある。
chconコマンドを使用するとファイルのコンテキストを変更できる。ただし、ファイルにポリシーでデフォルトコンテキストが設定されている場合、ファイルシステム全体で再ラベル付けをすると、ファイルがそのデフォルトコンテキストにリセットされる。chconは、ポリシーで確定的な変更を行う前に新しいファイルコンテキストをテストするのに便利だが、chconを使用して設定されたコンテキストにシステムが依存していると、グローバルな再ラベル付けが必要になった場合に問題が発生する可能性がある。
最後に、cpコマンドとmvコマンドを使った場合のファイルのコピーと移動における相違点を把握しておくことが重要だ。mvを使用してファイルを移動すると、移動先のファイルでも元のコンテキストが維持される。cpを使用してファイルをコピーすると、コピー先のディレクトリに基づく新しいコンテキストがファイルに継承される。これは、見落としていると問題を招きやすい重要な違いである。
記事全文:
http://www.linuxsecurity.com/content/view/120700/49/
Debian | ||
Debian:OpenSSL 0.9.6パッケージの暗号化の弱点の修正 | ||
2005年11月4日
|
||
Debian:OpenSSLパッケージの暗号化の弱点の修正 | ||
2005年11月4日
|
||
Debian:thttpdパッケージの安全でない一時ファイルの修正 | ||
2005年11月4日
|
||
Debian:Horde3パッケージの安全でないデフォルトインストールの修正 | ||
2005年11月7日
|
||
Debian:OpenVPNパッケージの複数の弱点の修正 | ||
2005年11月7日
|
||
Debian:squidパッケージの逆行の修正 | ||
2005年11月7日
|
||
Debian:chmlibパッケージの複数の弱点の修正 | ||
2005年11月7日
|
||
Debian:ClamAVパッケージの複数の弱点の修正 | ||
2005年11月7日
|
||
Debian:OpenSSLパッケージの暗号化の弱点の修正 | ||
2005年11月7日
|
||
Debian:enigmailパッケージの情報漏洩の修正 | ||
2005年11月8日
|
||
Debian:libungif4パッケージの複数の弱点の修正 | ||
2005年11月9日
|
||
Debian:gpsdriveパッケージの任意のコード実行に対する修正 | ||
2005年11月9日
|
||
Debian:awstatsパッケージの任意のコマンド実行に対する修正 | ||
2005年11月10日
|
||
Debian:kdelibsパッケージのバックアップファイル情報リークの修正 | ||
2005年11月10日
|
||
Gentoo | ||
Gentoo:giflibの複数の弱点 | ||
2005年11月4日
|
||
Gentoo:ClamAVの複数の弱点 | ||
2005年11月6日
|
||
Gentoo:GNUMP3dのディレクトリ・トラバーサルとXSSの弱点 | ||
2005年11月6日
|
||
Gentoo:fetchmailのfetchmailconfのパスワード漏洩 | ||
2005年11月6日
|
||
Gentoo:OpenVPNの複数の弱点 | ||
2005年11月6日
|
||
Gentoo:QDBM、ImageMagick、GDALのRUNPATH問題 | ||
2005年11月8日
|
||
Gentoo:libgdaのフォーマット文字列の弱点 | ||
2005年11月8日
|
||
Mandriva | ||
Mandriva:mandriva-releaseパッケージの情報の更新 | ||
2005年11月7日
|
||
Mandriva:clamavパッケージの複数の弱点の修正 | ||
2005年11月7日
|
||
Mandriva:openvpnパッケージの複数の弱点の修正 | ||
2005年11月8日
|
||
Mandriva:scim-qtimmパッケージの正しくないx86_64用Requireの修正 | ||
2005年11月9日
|
||
Mandriva:e2fsprogsパッケージのsegfaultの修正 | ||
2005年11月9日
|
||
Mandriva:ldetect-lstパッケージのPCI情報の更新 | ||
2005年11月9日
|
||
Mandriva:drakxtoolsパッケージの複数のバグの修正 | ||
2005年11月9日
|
||
Mandriva:libungifパッケージの複数の弱点の修正 | ||
2005年11月9日
|
||
Mandriva:emacsパッケージのLispの弱点の修正 | ||
2005年11月9日
|
||
Mandriva:fetchmailパッケージのfetchmailconf弱点の修正 | ||
2005年11月9日
|
||
Mandriva:w3c-libwwwパッケージのDoS弱点の修正 | ||
2005年11月9日
|
||
Mandriva:drakxtoolsパッケージの複数のバグの修正 | ||
2005年11月9日
|
||
Red Hat | ||
RedHat:重要:libungifのセキュリティ更新 | ||
2005年11月3日
|
||
RedHat:重大:flash-pluginのセキュリティ更新 | ||
2005年11月9日
|
||