OSDN -- Develop and Download Open Source Software

[tomoyo-users 460] Re: Linux のセキュリティモデルをネットワークに適用。と言いながら

Back to archive index

Takao Narabu narab****@fshd*****
2008年 7月 15日 (火) 18:34:55 JST 

熊猫さん、ありがとうございました。

暇を見て弄ってみたいとおもいます。
------------------------
Takao Narabu
----- Original Message ----- 
From: "Tetsuo Handa" <from-****@I-lov*****>
To: <tomoy****@lists*****>
Sent: Thursday, July 10, 2008 10:07 PM
Subject: [tomoyo-users 458] Re: Linux のセキュリティモデルをネットワークに適用。と言いながら


>  熊猫です。
> 
> 
> 
>> TOMOYOでもできそうなのでしょうか。
> TOMOYO Linux は基本的に「 Label Based Access Control 」ではないので
> 「 Labeled Networking 」というものは存在しませんが、
> TOMOYO Linux 1.6.x では secmark に似たようなことを実現できます。
> 「 Label を割り当てて iptables/netfilter と連動する」わけではないので
> 高度な処理はできませんが。
> 
> 
> 
> 使用例としては、 LAN から接続してきた場合だけ管理コマンドの実行を許可する
> というのがあります。
> 1つのマシンに eth0 (WAN 向け)と eth1 (LAN 向け)という2つの NIC が
> あるとします。
> eth1 は 192.168.0.0/16 を担当し、 eth0 はそれ以外を担当するとします。
> sshd のドメイン( <kernel> /usr/sbin/sshd )に対して、以下のように
> アクセス許可を与えます。(ライブラリや設定ファイルなどは省略しています。)
> 
> <kernel> /usr/sbin/sshd
> allow_network TCP accept 192.168.0.0-192.168.255.255 1024-65535 ; set task.state[0]=1
> allow_network TCP accept 0.0.0.0-192.167.255.255 1024-65535 ; set task.state[0]=0
> allow_network TCP accept 192.169.0.0-255.255.255.255 1024-65535 ; set task.state[0]=0
> allow_execute /bin/restricted_shell if task.state[0]=0
> allow_execute /sbin/admin_shell if task.state[0]=1
> 
> このようにすると、 192.168.0.0/16 から接続してきたクライアントは
> /sbin/admin_shell を実行できますが、それ以外から接続してきたクライアントは
> /bin/restricted_shell しか実行できないような状態を実現できます。
> task.state というのが、 TOMOYO Linux 1.6.0 で導入された、プロセスの状態を
> 保持しておくための変数です。他にもユーザ ID などと組み合わせて
> 
> allow_execute /bin/restricted_shell if task.state[0]=0 task.uid=500-1000
> allow_execute /sbin/admin_shell if task.state[0]=1 task.uid=0 task.gid=0
> 
> のような指定を行うことも可能です。
> 
> 
> 
> ちなみに、「 TCP コネクションを accept() する時に接続元アドレスをチェックして
> フィルタリングするためのフック」と「 UDP or RAW パケットを recvmsg() する時に
> 送信元アドレスをチェックしてフィルタリングするためのフック」を追加するという
> 熊猫のパッチに関して議論した相手が、この Paul Moore さんです。
> http://esashi.mobi/~matthew/wordpress/archives/189
> 
> 現時点では in-tree のユーザがいないので熊猫が提案しているパッチは
> 採用されていませんが、 TOMOYO Linux 1.6.0 でプロセスの状態を考慮した
> アクセス制御ができるようになったため、このパッチと組み合わせることにより
> TOMOYO Linux でも接続元/送信元アドレスに基づいたアクセス権限の切り替えが
> 可能になりました。
> 
> _______________________________________________
> tomoyo-users mailing list
> tomoy****@lists*****
> http://lists.sourceforge.jp/mailman/listinfo/tomoyo-users

tomoyo-users メーリングリストの案内
Back to archive index