TOMOYO Linux

Size: px

Start display at page:

Download "TOMOYO Linux"

ときなあみおか
5 years ago
Views:

1 TOMOYO Linux タスク構造体の拡張によるセキュリティ強化 Linux [ 当日説明用資料 ] 平成 16 年 6 月 3 日株式会社 NTT データ技術開発本部オープンシステムアーキテクチャグループ原田季栄 haradats@nttdata.co.jp

3 強制アクセス制御 (MAC) Mandatory Access Control の略 DoDが1985 年に発令したTCSECの中で CLASS (B1): LABELED SECURITY PROTECTION として記述アクセスの主体 ( 要求する側 ) と客体 ( 要求された側 ) について付与された重要性 (sensitivity) のラベルに基づき強制的に例外なく可否を判定する 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 3

4 Security-Enhanced Linux SELinux NSAが開発公開しているセキュリティ強化 Linux 特徴強制アクセス制御を Linux に実装 DTE (Domain Type Enforcement) プログラムの実行状況をドメインという概念で表現ドメイン毎にアクセス許可を定義しアクセスを制限する RBAC (Role Based Access Control) 同一ユーザでも役割により異なる権限を与える LSM (Linux Security Modules) に対応 2.6カーネルに組み込み済みきめこまかなアクセス制御を実現できる 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 4

5 SELinux の運用ドメインを定義しドメイン間の遷移を定義(execを唯一の契機として) しドメインの粒度は管理者まかせだがもっとも細かい場合は全てのプログラムの起動でドメインを切り替えること = 現実には定義不可能ドメイン毎のアクセス許可条件を記述するアクセス許可の粒度はシステムコール ( 固定 ) ( 必要に応じて )RBACを記述する上記全ては管理者が定めるラベルに基づいて行われるラベル付けの正しさは全ての前提 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 5

6 SELinux で問題解決? 適切なポリシーの策定と運用が現実には困難実装と一緒に配布されているポリシーを修正して利用するのが一般的と思われる permissiveモードで運用して不足しているアクセス許可を抽出してポリシーに追加するのは容易だが過剰なアクセス許可は検知しがたくつけいられる隙となり得る動くようになったで良いのか?( 良くないのでは?) ラベルによるアクセス制御の問題管理運用上の負担定義も解析も確認もラベルを介して行うという不便さ 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 6

10 TOMOYO 以前の取り組みアクセスポリシー自動生成支援システム JNSA Network Security Forum 2003 で発表特殊なカーネルにより特徴プロセス起動履歴と履歴毎のアクセス要求を記憶記憶したアクセス要求をファイルに抽出 Windows 上でGUIエディタを用いて確認編集もれがなく正確なポリシーの策定が可能これに強制アクセス制御機能を加えたものが TOMOYO 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 10

TOMOYO 以前の取り組み SAKURA Linux ( 物理的な改ざん防止 LC2003で発表 ) root fsがread

SAKURA の限界改ざん防止策にはなるが情報漏洩防止策にはならない改ざんはできないがアクセスを制御していないから管理者権限を奪われると参照は可能となってしまう

13 TOMOYO Linux ラベルによらないアクセス許可の付与ファイル名ディレクトリ名そのままでポリシーを確認編集アクセスポリシーの自動定義機能アクセスポリシーに基づく強制アクセス制御アクセスポリシーによらない自発的アクセス制御 ( 詳細については論文を参照ください ) 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 13

18 デモ 1 アクセスポリシー自動定義自動定義モード (ACCEPT) カーネルで起動発生したアクセス許可条件が自動的に記録されるプロセスの起動履歴毎に ( 同じ mount プログラムであったとしてもその /sbin/init からの系統図により区別される SELinux で言えば全てのプロセスの起動履歴を異なるドメインに対応づけた状態 = 事実上のもっとも細かい粒度 ) 記録されるのはプロセスとアクセス対象とアクセスモードポリシーはテキストエディタで確認編集可能自動定義された内容に基づく強制アクセス制御強制モード (ENFORCE) カーネルで起動すると定義された内容以外はアクセスが失敗する 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 18

19 デモ 2 アクセスポリシーによらない自発的アクセス制御通常の Linux では setuid root された実行可能ファイルは誰が実行しても常に root 権限で動作しますそのようなプログラムが乗っ取られてしまうと大変危険な事態となりますそこで必要がなくなったら root 権限を得る権利を自分で放棄できるよう実装しました 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 19

20 サーバー機能デモ 3 SAKURA と TOMOYO の組み合わせ改ざん防止 + 独自強制アクセス制御 USBフラッシュメモリから起動 Apache 等サーバをWindowsXP 端末からアクセスこの状態で改ざん防止とアクセス制御が有効となっています 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 20

23 参考文献 [1] 日経システム構築 2004 年 4 月号 no.132 解説セキュアなシステムを作る(3つの原則に従いOSの機能を強化) [2] 読み込み専用メディア上でのLinuxサーバの運用について読み込み専用マウントによる改ざん防止 Linuxサーバの構築 Linux Conference 原田季栄保理江高志田中一男 [3] 強制アクセス制御のポリシー定義の自動化についてプロセス実行履歴に基づくアクセスポリシー自動生成システム Network Security Forum 原田季栄保理江高志田中一男 [4] サポートページ本資料掲載内容のフォローアップ情報を公開します 2004/6/3 Copyright (C) 2004 NTT DATA CORPORATION. All rights reserved. 23

使いこなせて安全なLinuxを目指して

使いこなせて安全なLinuxを目指して haradats@nttdata.co.jp Linux Linux(DAC) 2005/6/2 Copyright (C) 2005 NTT DATA CORPORATION. 1 Linux Linux NO SELinux Yes 2005/6/2 Copyright (C) 2005 NTT DATA CORPORATION. 2 2005/6/2 Copyright (C) 2005 NTT