Takao Narabu
narab****@fshd*****
2008年 7月 15日 (火) 18:34:55 JST
熊猫さん、ありがとうございました。 暇を見て弄ってみたいとおもいます。 ------------------------ Takao Narabu ----- Original Message ----- From: "Tetsuo Handa" <from-****@I-lov*****> To: <tomoy****@lists*****> Sent: Thursday, July 10, 2008 10:07 PM Subject: [tomoyo-users 458] Re: Linux のセキュリティモデルをネットワークに適用。と言いながら > 熊猫です。 > > > >> TOMOYOでもできそうなのでしょうか。 > TOMOYO Linux は基本的に「 Label Based Access Control 」ではないので > 「 Labeled Networking 」というものは存在しませんが、 > TOMOYO Linux 1.6.x では secmark に似たようなことを実現できます。 > 「 Label を割り当てて iptables/netfilter と連動する」わけではないので > 高度な処理はできませんが。 > > > > 使用例としては、 LAN から接続してきた場合だけ管理コマンドの実行を許可する > というのがあります。 > 1つのマシンに eth0 (WAN 向け)と eth1 (LAN 向け)という2つの NIC が > あるとします。 > eth1 は 192.168.0.0/16 を担当し、 eth0 はそれ以外を担当するとします。 > sshd のドメイン( <kernel> /usr/sbin/sshd )に対して、以下のように > アクセス許可を与えます。(ライブラリや設定ファイルなどは省略しています。) > > <kernel> /usr/sbin/sshd > allow_network TCP accept 192.168.0.0-192.168.255.255 1024-65535 ; set task.state[0]=1 > allow_network TCP accept 0.0.0.0-192.167.255.255 1024-65535 ; set task.state[0]=0 > allow_network TCP accept 192.169.0.0-255.255.255.255 1024-65535 ; set task.state[0]=0 > allow_execute /bin/restricted_shell if task.state[0]=0 > allow_execute /sbin/admin_shell if task.state[0]=1 > > このようにすると、 192.168.0.0/16 から接続してきたクライアントは > /sbin/admin_shell を実行できますが、それ以外から接続してきたクライアントは > /bin/restricted_shell しか実行できないような状態を実現できます。 > task.state というのが、 TOMOYO Linux 1.6.0 で導入された、プロセスの状態を > 保持しておくための変数です。他にもユーザ ID などと組み合わせて > > allow_execute /bin/restricted_shell if task.state[0]=0 task.uid=500-1000 > allow_execute /sbin/admin_shell if task.state[0]=1 task.uid=0 task.gid=0 > > のような指定を行うことも可能です。 > > > > ちなみに、「 TCP コネクションを accept() する時に接続元アドレスをチェックして > フィルタリングするためのフック」と「 UDP or RAW パケットを recvmsg() する時に > 送信元アドレスをチェックしてフィルタリングするためのフック」を追加するという > 熊猫のパッチに関して議論した相手が、この Paul Moore さんです。 > http://esashi.mobi/~matthew/wordpress/archives/189 > > 現時点では in-tree のユーザがいないので熊猫が提案しているパッチは > 採用されていませんが、 TOMOYO Linux 1.6.0 でプロセスの状態を考慮した > アクセス制御ができるようになったため、このパッチと組み合わせることにより > TOMOYO Linux でも接続元/送信元アドレスに基づいたアクセス権限の切り替えが > 可能になりました。 > > _______________________________________________ > tomoyo-users mailing list > tomoy****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/tomoyo-users