Microsoft PowerPoint - OSC2009Shimane.ppt

Transcription

1 Open Source Conference 2009 Shimane セキュア OS の紹介と最新動向 ~ SELinux とTOMOYO Linux を中心に ~ 日本セキュア OS ユーザ会 宍道洋

2 セキュア OS ってなに? 一言で言うと セキュリティを強化した OS です? で 何をどう強化したの? 最少特権化プロセスを必要最小限の権限で動作強制アクセス制御全ての利用者 全ての操作に例外なくアクセス制御を強制する?? Open Source Conference 2009 Shimane 4

3 セキュア OS でなくっても 基本的なセキュリティ対策で十分じゃない? 必要のないサービスを停止 余計なポートをふさぐ ログインパスワードの定期的な更新リモートログインには SSH+ 公開鍵認証 こまめなソフトウェアのセキュリティパッチ適用 アンチウィルスソフトなどによるウィルス検知 IDS や F/W などのセキュリティ機器の導入 などなど Open Source Conference 2009 Shimane 5

4 でも脅威はいろいろ パッチ適用の不備 パッチ適用のために頻繁にサーバを停止できない 0-day 攻撃 0-day の場合 パッチを当てようがない 内部犯行の脅威内部ネットワークに接続された PC からの攻撃 管理者権限を持つユーザの不正なアクセス Open Source Conference 2009 Shimane 6

5 なぜそんな脅威があるの? 1. Linux などの UNIX 系 OS では 任意アクセス制御 (DAC: Discretionary Access Control) が使われている 資源 ( ファイルなど ) の所有者が 任意 にアクセス権を変更できる chmod コマンドを使ったりして 機密文書が 故意または操作ミスで公開されるかも 2. 管理者はそのシステムの 神 管理者権限があると 任意アクセス制御 を無視できる システム上のほとんどの権限を行使できる 管理者権限を奪取できればシステムを乗っ取ることができる Open Source Conference 2009 Shimane 7

6 セキュア OS での対策 セキュリティポリシーに基づく 強制強制アクセスアクセス制御制御 と 最少特権化最少特権化 セキュリティポリシー では してもよいこと や 使える特権 などを記述しておく書かれていないことは全て 禁止 強制アクセス制御 (MAC: Mandatory Access Control) セキュリティポリシーに従ったアクセス制限を 全てのユーザやプロセスに強制させることができる仕組み資源の所有者であっても その資源に対するアクセス権の変更ができない管理者であってもこの MAC を回避できない 最少特権化ユーザやプロセスの動作に必要最小限の特権しか割り当てない仕組み余計な特権を利用した不正な操作を不可能にする Open Source Conference 2009 Shimane 8

7 セキュア OS の仕組み 資源へのアクセスには システムコール呼出が必要 システムコール呼出全てのフックで アクセス全てを捕捉アクセスチェック機構によるアクセス制御が可能 プロセス A プロセス B カーネルシステムコールインタフェイス アクセスチェック機構 セキュリティポリシー ハードウェアなどの資源 Open Source Conference 2009 Shimane 9

8 セキュア OS による保護 通常の Linux の場合 インターネット SPAM など シェルの起動 HTTPD 認証 /bin/sh DB Sendmail read() execve() OS read() 他のサービスへの攻撃 機密文書 Open Source Conference 2009 Shimane 10

9 セキュア OS による保護 セキュア Linux の場合 インターネット 他のサービスに影響を与えない HTTPD 認証 /bin/sh DB Sendmail OS read() execve() 機密文書 セキュリティポリシー Open Source Conference 2009 Shimane 11

10 セキュア OS で守れないこともあります システムコールを介さない (OS が関与しない ) アプリケーションレベルの事象 XSS とか SQL インジェクションとか DoS DDoS 攻撃 正規ユーザの操作ミス 権限範囲内でのファイルの削除や設定ミスなど 正規ユーザへの成りすまし 攻撃を受けた脆弱アプリの動作保障 BOF 攻撃を受けた後は メモリ汚染のため正常な動作を期待できない 運用規定やセキュリティ機器などと組み合わせた多重防御は必要 Open Source Conference 2009 Shimane 12

11 セキュア OS の種類 商用のセキュア OS Hizard, SecuveTOS, SHieldWare, WhiteShield PitBull, HP-UX + Security Containment, AIX + Trusted AIX, CA Access Control,... OSS のセキュア OS TrustedBSD OpenSolaris + Trusted Extensions SELinux, TOMOYO Linux, Smack, LIDS, AppArmor, RSBAC, grsecurity 以降は SELinux と TOMOYO Linux について説明します Open Source Conference 2009 Shimane 13

12 Open Source Conference 2009 Shimane Linux ベースのセキュア OS その 1 ~ SELinux ~

13 SELinux (Security-Enhanced Linux) アメリカ国家安全保障局 (NSA) が中心となって開発 Linuxカーネル2.6.x および RHEL, CentOS, Fedoraで標準機能ラベルベースのアクセス制御方式 長所 : 短所 : アクセス対象をラベルで抽象化し アクセス範囲を特定できるラベル付けなどの設定が複雑化 SELinux のアクセス制御機能 TE (Type Enforcement) RBAC (Role Based Access Control) MLS (Multi-Level Security), MCS (Multi-Category Security) Open Source Conference 2009 Shimane 15

14 TE (Type Enforcement) ドメイン ( プログラムの動作範囲 ) ごとに利用可能な資源を限定たとえば Apache の場合 (httpd_t ドメイン ) / etc lib usr var lib_t httpd bin lib sbin log www lib_t httpd_config_t httpd httpd cgi-bin html 読み出し専用 httpd_exec_t httpd_log_t httpd_sys_script_exec_t httpd_sys_content_t 読み出し専用実行可能追記専用実行可能読み出し専用 明示的に指定したもの以外は 全てアクセス禁止 Open Source Conference 2009 Shimane 16

15 RBAC (Role Based Access Control) 役割 ( ロール ) に応じたアクセス権の付与 役割ごとに利用する権限を限定する ユーザ A ユーザ B ユーザ C Web 管理者ロール DB 管理者ロール 一般ユーザロール httpd_t ドメイン postgresql_t ドメイン ユーザ D Open Source Conference 2009 Shimane 17

16 密レベ公開機MLS, MCS (Multi-Level Security, Multi-Category Security) 機密レベル 機密区分に応じたアクセス制御機密区分を超えて資源を利用できない機密レベルの高い情報は低いユーザから読み出し禁止書き込みは 同じ機密レベルの資源だけ可能 情報の流れ ( 情報フロー ) を制御 機密区分 人事営業開発最高機密極秘秘ルOpen Source Conference 2009 Shimane 18

17 SELinux を使うには Fedora や CentOS RHEL ではデフォルトでインストール標準ポリシーは Targeted Policy( 対象を絞ったポリシー ) Apache や syslogd などのシステムサービスのみ保護ユーザは Unconfined ( 非制限 ) ドメインで ほぼ今までどおり管理ツールは GUI の system-config-selinux boolean での設定 : セキュリティポリシーの一部を ON/OFF ファイルやディレクトリなどのタイプの設定 変更 setroubleshoot による問題解決アクセス拒否の通知機能と 問題解決方法の提示 /sbin/restorecon タイプの不整合の修正 Debian, Ubuntu, Gentoo などでも SELinux が使えます Open Source Conference 2009 Shimane 19

18 system-config-selinux Open Source Conference 2009 Shimane 20

19 setroubleshoot 警告の表示 原因 解決方法の提案 Open Source Conference 2009 Shimane 21

20 Open Source Conference 2009 Shimane Linux ベースのセキュア OS その 2 ~ TOMOYO Linux ~

21 TOMOYO Linux とは? NTT データで開発され 2005 年に OSS として公開 TOMOYO Linux の主な機能 パス名ベースのアクセス制御 SELinux の場合は TE によるラベルベースのアクセス制御 プロセスの呼び出し履歴に基づくドメイン ポリシーの自動学習機能 プロセスの動作を監視して記録する 読み書きするファイルや 呼び出す別プロセスなど 運用時には 学習したポリシーを強制できる 運用時でも一部をアクセス制御対象外や学習モードにすることも可能 Open Source Conference 2009 Shimane 23

22 TOMOYO Linux のドメイン プロセスの呼び出し履歴に基づく階層的ドメイン 呼び出し順が異なれば別ドメインコンソールでログインした sh SSH 経由でログインした sh さらに su を実行した後の sh それぞれで異なるポリシーを設定可能 <kernel> /sbin/init /sbin/getty /bin/login /bin/sh /usr/sbin/sshd /bin/sh /bin/su /bin/sh Open Source Conference 2009 Shimane 24

23 TOMOYO Linux のドメイン 階層的ドメインと認証プログラムの組み合わせ 別のドメインへ移行する際に認証プログラムをおくことができる ログイン時の一回だけでなく 任意の回数の認証を通すことが可能 認証方法は自由 パスワード方式 特定ファイルの有無 環境変数の値 キー入力タイミング などなど 認証をクリアしないと目的のドメインに到達しない < ドメイン1> < ドメイン2> 認証 A < ドメイン3> 機密情報認証 B < ドメイン4> 認証 C < ドメイン5> 機密情報 Open Source Conference 2009 Shimane 25

24 ポリシーの自動学習機能 プロセスの動作を監視し 記録するファイルなど資源へのアクセス ( 読み書き 作成 変更など ) ネットワークアクセス使用する環境変数や権限 シグナルなど基本はゼロからのポリシー作成 SELinux のように用意されたポリシーはない学習モードで作成し 必要に応じて調整し 適用するポリシー作成のほかに プロセスのアクセス解析として利用可能複雑なプログラムや商用アプリのアクセス解析組込み機器でのファイルシステム最適化 ( 不要なファイルの削除など ) Open Source Conference 2009 Shimane 26

25 ポリシーの自動学習機能 学習例 /sbin/getty の場合 <kernel> /sbin/init /sbin/getty use_profile 1 allow_read/write /tmp/utmp allow_create /tmp/utmp allow_write /tmp/wtmp allow_create /tmp/wtmp allow_execute /bin/login allow_read /etc/issue allow_read /lib/ld-uclibc so allow_read /lib/libuclibc so allow_read/write /dev/null allow_read/write /dev/ttys0 ドメイン 学習モード /tmp/utmp の生成と読み書き /tmp/wtmp の生成と書き込み login コマンドの実行 使用するライブラリの読み込み 仮想デバイスファイルの読み書き Open Source Conference 2009 Shimane 27

26 ポリシーの編集ツール Open Source Conference 2009 Shimane 28

27 TOMOYO Linux を使うには Turbolinux, Fedora, CentOS, Debian, Ubuntu, Mandriva などで利用可能 ( オフィシャルサイト ) 導入手順書 講演資料 Ubuntu や CentOS による Live CD もあります Open Source Conference 2009 Shimane 29

28 Open Source Conference 2009 Shimane SELinux とTOMOYO Linux の 最近の動向 ~ SELinux ~

29 LAPP/SELinux SELinux を使って LAPP スタック全体を保護 LAPP スタック Linux + Apache + PostgreSQL + PHP それぞれに異なるセキュリティ機能があり 一貫性が無い SELinux + Apache/SElinux plus + SE-PostgreSQL + PHP NEC の海外浩平氏が開発 SELinux の提供する API を使って セキュリティ機能を拡張 共通のセキュリティコンテキスト ( セキュリティ属性 ) を利用して LAPP スタック全体で一貫性のあるアクセス制御を行う Web Application Apache/SELinux plus SE-PostgreSQL SELinux Open Source Conference 2009 Shimane 31

30 SE-PostgreSQL SELinux 上での PostgreSQL の問題点 同じセキュリティコンテキストの情報をファイルシステムと DB に格納 DB 上の情報からセキュリティコンテキストが紛失 権限所有者 極秘 データベース 極秘 ファイルシステム コンテキストの紛失 一般ユーザ Open Source Conference 2009 Shimane 32

31 SE-PostgreSQL SE-PostgreSQL DB へのアクセス時に SELinux のポリシーを適用 SELinux : プロセスシステムコールファイルシステム SE-PostgreSQL : プロセス SQLクエリ DBオブジェクト 利用者 ( プロセス ) 利用者 ( プロセス ) SE-PostgreSQL SQL クエリ DB オブジェクト SE-Pgsql サブシステム アクセスチェック機構 セキュリティポリシー ファイルシステム システムコール SELinux Open Source Conference 2009 Shimane 33

32 SE-PostgreSQL SE-PostgreSQL DB へのアクセス時に SELinux のポリシーを適用 SELinux : プロセスシステムコールファイルシステム SE-PostgreSQL : プロセス SQLクエリ DBオブジェクト 権限所有者 極秘 データベース 極秘 セキュリティポリシー 極秘 ファイルシステム 一般ユーザ Open Source Conference 2009 Shimane 34

33 Apache/SELinux plus SELinux 上での Web アプリケーションの問題点 Web サーバプロセスが全ての Web アプリを実行 OS や DB からは利用者の区別が不可能 リクエスト実行前に 利用者に応じた権限の割り当てが必要 スレッド単位で権限を割り当てられるようになった (Linux カーネル 以降 ) Web アプリは Web サーバプロセスのスレッドとして動作 親プロセスの権限を越えない範囲でスレッドの権限を設定可能 これも海外氏の開発 Apache 用モジュール mod_selinux 利用者ごとの権限で Web アプリを実行可能に Open Source Conference 2009 Shimane 35

34 Apache/SELinux plus 通常の Apache HTTP 要求受信 HTTP 認証.cgi コンテンツハンドラの呼び出し.html.php HTTP 応答送信 httpd Open Source Conference 2009 Shimane 36

35 Apache/SELinux plus Apache/SELinux plus HTTP 要求受信 HTTP 認証 使い捨てスレッド mod_selinux スレッド生成 スレッド終了待ち セキュリティ属性設定 コンテンツハンドラの呼び出し 終了.cgi.html.php HTTP 応答送信 httpd Open Source Conference 2009 Shimane 37

36 LAPP/SELinux の動作例 ユーザの認証 Open Source Conference 2009 Shimane 38

37 LAPP/SELinux の動作例 カテゴリが c0 ~ c2 のユーザ カテゴリ c0 の画像 カテゴリ c0, c1, c2 の DB のデータが表示される カテゴリ c1 の画像 Open Source Conference 2009 Shimane 39

38 LAPP/SELinux の動作例 カテゴリが c0 のみのユーザ カテゴリ c0 の画像 カテゴリ c0 のみの DBのデータが表示される カテゴリ c1 の画像 Open Source Conference 2009 Shimane 40

39 Open Source Conference 2009 Shimane SELinux とTOMOYO Linux の 最近の動向 ~ TOMOYO Linux ~

40 TOMOYO Linux Linux カーネルのメインラインへ NTT データの TOMOYO チームの活動 2007 年からメインライン化への活動が始まる LKML へ 15 回の提案を行ったほか 海外での多数の講演により Linux コミュニティで認知される 2009 年 2 月 James Morris のツリー および Linux-next にマージされる 2009 年 3 月 Linus Torvalds のツリーにマージされる 2009 年 4 月 Linux rc1 としてリリース Linux のリリースは 2009 年 6 月末の予定 Open Source Conference 2009 Shimane 42

41 TOMOYO Linux メインライン版 (LSM 対応版 : バージョン 2.2.x) ファイルに対するアクセス制御 学習のみ ( 今後拡充予定 ) カーネルに搭載予定 フル機能版 ( 独自フック版 : バージョン 1.6.x) 2.4 系カーネルにも対応 SELinuxとの共存が可能 JNSAのWebサーバで稼働中 JNSA: NPO 日本ネットワークセキュリティ協会 Open Source Conference 2009 Shimane 43

42 Open Source Conference 2009 Shimane さいごに

43 まとめ セキュア OS の基本 ポリシーに基づく 強制アクセス制御 と 最少特権 インストールなど利用しやすさや情報量などから 最初は SELinux や TOMOYO Linux がお勧め 多くのディストリビューションで採用されている SELinux LAPP/SELinux により セキュア OS の守備範囲が広がりました 日本発で 日本語での情報 サポートのある TOMOYO Linux メインライン化すると 今よりさらに気楽に利用できるでしょう これを機会にセキュア OS を使ってみてください Open Source Conference 2009 Shimane 45

44 参考 日本セキュア OS ユーザ会 SELinux NSA( アメリカ国家安全保障局 ) の SELinux サイト Fedora SELinux User Guide TOMOYO Linux オフィシャルサイト はてなキーワード Linux 2ch 本家まで TOMOYO Linux もう一息 スレ Open Source Conference 2009 Shimane 46

45 日本セキュア OS ユーザ会 about us セキュア OS 技術を中心としたセキュリティ技術全般に関心のある人々による 情報交換 交流 議論のためのコミュニティ Web site : Mailing List : users-ml@secureos.jp セキュア OS 塾 3~4 ヶ月に一回程度の勉強会 平日夜 / 東京都内 + 懇親会 次回セキュア OS 塾 年 5 月 28 日 ( 木 ) ライトニングトーク 3 本 SELinux を使ってみる入門 BoF セキュア OS 塾 01 の様子 (2008/10/29) Open Source Conference 2009 Shimane 47

46 Open Source Conference 2009 Shimane ありがとうございました