目次 Hardened Gentoo での SELinux の導入導入するときの注意点 Hardened Gentoo と Fedora Core 4 との違い例題 : id_t, id_exec をつくってみる SETools の活用法 Apol seaudit Reference Policy

Size: px

Start display at page:

Download "目次 Hardened Gentoo での SELinux の導入導入するときの注意点 Hardened Gentoo と Fedora Core 4 との違い例題 : id_t, id_exec をつくってみる SETools の活用法 Apol seaudit Reference Policy"

きみえうづき
7 years ago
Views:

自分流 SELinux とのつき合いかた 2005-12-31 Your Name Your Title

1 自分流 SELinux とのつき合いかた Your Name Your Title Your Organization (Line #1) Your Organization (Line #2)

2 目次 Hardened Gentoo での SELinux の導入導入するときの注意点 Hardened Gentoo と Fedora Core 4 との違い例題 : id_t, id_exec をつくってみる SETools の活用法 Apol seaudit Reference Policy について 3

3 Hardened Gentoo での SELinux の導入起動ログイン 1. Live CD (hardened-x iso) で起動 (X は使わない ) boot: selinux-nox Loading selinux... Loading selinux.idz 解像度はそのまま. 3. Keymap 選択. Load keymap (Enter for default): メンテナンスモードはスキップ. 5. デバイスの自動認識 6. ログイン Login: hardened Password: (hardened) 4

4 Hardened Gentoo での SELinux の導入 2 ログインベースインストール 7. root のパスワード設定とディスクの準備 hardened@livecd ~ $ sudo passwd root && su - livecd ~ $ fdisk /dev/hda && mke2fs -j /dev/hda1 && mkswap /dev/hda2 livecd ~ $ mkdir /mnt/gentoo && cd /mnt/gentoo livecd ~ $ mount /dev/hda1 /mnt/gentoo 8. stage3 (stage3-x86-selinux tar.bz2) のダウンロードと展開 livecd ~ $ swapon /dev/hda2 livecd ~ $ wget livecd ~ $ tar -xvjpf stage?-*.tar.bz2 : 9. このあたりは普通の gentoo と同じ 5

5 Hardened Gentoo での SELinux の導入 3 ベースカーネルインストール 10. カーネルの設定 livecd ~ $ emerge hardened-sources && cd /usr/src/linux livecd ~ $ make menuconfig Under "Code maturity level options" [*] Prompt for development and/or incomplete code/drivers Under "General setup" [*] Auditing support Under "File systems" <*> Ext3 journalling file system support (If using ext3) [*] Ext3 extended attributes [ ] Ext3 POSIX Access Control Lists [*] Ext3 security labels [ ] NSA SELinux MLS policy (EXPERIMENTAL) 6

6 Hardened Gentoo での SELinux の導入 4 ベースカーネルインストール 10. カーネルの設定 ( 続き ) [*] /proc file system support [ ] /dev file system support (EXPERIMENTAL) [*] /dev/pts Extended Attributes [*] /dev/pts Security Labels [*] Virtual memory file system support (former shm fs) [*] tmpfs Extended Attributes [*] tmpfs Security Labels 7

7 Hardened Gentoo での SELinux の導入 5 ベースカーネルインストール 10. カーネルの設定 ( 続き ) Under "Security options" [*] Enable different security models [*] Socket and Networking Security Hooks <*> Capabilities Support [*] NSA SELinux Support [ ] NSA SELinux boot parameter [ ] NSA SELinux runtime disable [*] NSA SELinux Development Support [ ] NSA SELinux AVC Statistics [ ] NSA SELinux MLS policy (EXPERIMENTAL) 8

8 Hardened Gentoo での SELinux の導入導入するときの注意点 (hardened-x iso 版 ) 1. 最新のステージ tar 玉と Live CD のポリシーが合わないのでインストール時の最後のステップで load_policy に失敗する make reload する前に /etc/security/selinux/src/policy/makefile の以下の部分を修正しましょう # The default target is 'install'. # # Set to y if MLS is enabled in the module. MLS=n # Uncomment if you want to generate policy file compatible with older # kernels. POLICYCOMPAT = -c 18 ここを 15 から 18 にする FLASKDIR = flask/ PREFIX = /usr

9 Hardened Gentoo での SELinux の導入 2 導入するときの注意点 (hardened-x iso 版 ) 2. Gentoo のドキュメントにあるようにカーネルの MLS サポートは切りましょう (ToT うまくポリシーがロードできません ( 調査中 ) 以下の部分をチェックしてください Under "Security options" [*] Enable different security models [*] Socket and Networking Security Hooks <*> Capabilities Support [*] NSA SELinux Support [ ] NSA SELinux boot parameter [ ] NSA SELinux runtime disable [*] NSA SELinux Development Support [ ] NSA SELinux AVC Statistics [ ] NSA SELinux MLS policy (EXPERIMENTAL)

10 Hardened Gentoo での SELinux の導入 3 導入するときの注意点 (hardened-x iso 版 ) 3. セキュリティコンテキストをすぐ忘れてしまいます ( 私です ) 以下のような.bash_profile と.bashrc はどうでしょうか? ##.bashrc if [ selinuxenabled ]; then export PS1="(\$(id -c))\n[\u@\h \W]\\$ " alias cp='cp -ic' # too cowardly? alias ll='ls --lcontext' fi ## root の.bash_profile force_newrole(){ id -c grep -q 'root:sysadm_r:sysadm_t' \ while true;do sleep 1;\newrole -r sysadm_r -t sysadm_t && \ break;done } selinuxenabled && sestatus grep -q targeted force_newrole 12

11 Hardened Gentoo での SELinux の導入 4 導入するときの注意点 (hardened-x iso 版 ) 4. コンソールに全てのメッセージを出したいとき以下のような感じで設定しておきましょう [root@g1 ~]# echo > /proc/sys/kernel/printk Console Log Level: 基準優先順位 Default Message Log Level: デフォルト優先順位 Minimum Console Log Level: 設定可能な最小値 Default Console Log Level: デフォルト値または [root@g1 ~]# dmesg -n 1 13

12 Hardened Gentoo と Fedora Core 4 との違いポリシーのツリー構造 1 /etc/security/selinux/src/policy(47 種類 )<->182 種類 [zchan@g1 ~]$ ls /etc/security/selinux/src/policy/domains/program/./ getty.te modutil.te pppd.te../ gpg.te mount.te restorecon.te bootloader.te hostname.te mta.te rsyncd.te checkpolicy.te hotplug.te netutils.te setfiles.te chkpwd.te hwclock.te newrole.te ssh-agent.te chroot.te ifconfig.te nscd.te ssh.te consoletype.te init.te ntpd.te su.te crack.te initrc.te pamconsole.te syslogd.te crond.te iptables.te passwd.te udev.te crontab.te ldconfig.te pax.te useradd.te dhcpc.te load_policy.te ping.te dmesg.te login.te portage.te fsadm.te mkinitrd.te portmap.te 14

13 Hardened Gentoo と Fedora Core 4 との違い 2 SELinux 関連の portage の例 : NTP [zchan@g1 policy]$ epm -ql selinux-ntp /etc/security/selinux/src/policy-backup/ selinux-ntp.tar.bz2 /etc/security/selinux/src/policy/domains/program/ntpd.te /etc/security/selinux/src/policy/file_contexts/program/ntpd.fc 15

14 Hardened Gentoo と Fedora Core 4 との違い 3 portage の分類 [root@z2 ~]# ls -w 80 /usr/portage/sec-policy/./ selinux-djbdns/ selinux-postfix/../ selinux-ethereal/ selinux-postgresql/ metadata.xml selinux-ftpd/ selinux-privoxy/ selinux-apache/ selinux-gnupg/ selinux-procmail/ selinux-arpwatch/ selinux-gpm/ selinux-publicfile/ selinux-asterisk/ selinux-ipsec-tools/ selinux-qmail/ selinux-audio-entropyd/ selinux-kerberos/ selinux-samba/ selinux-base-policy/ selinux-logrotate/ selinux-screen/ selinux-bind/ selinux-lvm/ selinux-snmpd/ selinux-clamav/ selinux-mdadm/ selinux-snort/ selinux-clockspeed/ selinux-mysql/ selinux-spamassassin/ selinux-courier-imap/ selinux-nfs/ selinux-squid/ selinux-cyrus-sasl/ selinux-ntop/ selinux-stunnel/ selinux-daemontools/ selinux-ntp/ selinux-sudo/ selinux-dante/ selinux-openldap/ selinux-tftpd/ selinux-dhcp/ selinux-openvpn/ selinux-ucspi-tcp/ selinux-distcc/ selinux-portmap/ 16

15 Hardened Gentoo と Fedora Core 4 との違い 4 コマンドが... - replcon $ ls -Z tmp.tar.gz -rw-r--r-- zchan users zchan:object_r:staff_home_t tmp.tar.gz $ replcon -rv -c zchan:object_r:staff_home_t zchan:object_r:staff_tmp_t./tmp/ Warning: Can not stat 'zchan:object_r:staff_home_t'. Skipping this file. Replaced context: /home/zchan/tmp old context: [zchan:object_r:staff_home_t] new context: [zchan:object_r:staff_tmp_t] Replaced context: /home/zchan/tmp/asc-tfm.tar.gz old context: [zchan:object_r:staff_home_t] new context: [zchan:object_r:staff_tmp_t] Replaced context: /home/zchan/tmp/morisawa1-afm.tar.gz old context: [zchan:object_r:staff_home_t] new context: [zchan:object_r:staff_tmp_t] - id -c [zchan@g1 tmp]$ id -c zchan:staff_r:staff_t 17

16 例題 : id_t, id_exec_t をつくってみる /etc/security/selinux/src/policy/domains/program/id.te ## -- id.te -- for testing. type id_t, domain; role sysadm_r types id_t; type id_exec_t, file_type, exec_type; domain_auto_trans(sysadm_t, id_exec_t,id_t) general_domain_access(id_t) uses_shlib(id_t) read_locale(id_t) allow id_t admin_tty_type:chr_file rw_file_perms; ifdef(`gnome-pty-helper.te', `allow id_t sysadm_gph_t:fd use;') allow id_t { userdomain privfd kernel_t }:fd use; allow id_t var_t : file r_file_perms; allow sysadm_t id_exec_t:lnk_file read; can_getcon(id_t) 18

17 例題 : id_t, id_exec_t をつくってみる 2 /etc/security/selinux/src/policy/filecontexts/program/id.fc ## -- id.fc -- for testing. /bin/id system_u:object_r:id_exec_t /usr/bin/id system_u:object_r:id_exec_t /var/log/everything/current, /var/log/kernel/current を確認して作業する (metalog の場合 ) (root:sysadm_r:id_t) [root@g1 policy]# id uid=0 gid=0 所属グループ =0,1,2,3,4,6,10,11,20,26,27 context=root:sysadm_r:id_t

18 SETools の活用法 SETools Apol,SeDiff,SeAudit,SeAudit- Report,SeCmds(seinfo; sesearch;findcon;replcon; indexcon;searchcon)

19 SETools の活用法 2 Apol - ポリシー解析ツール - - ドメイン遷移の追跡 (Policy Rules->RBAC Rules) staff_t -> sysadm_t へのドメイン遷移 - 実行権限の追跡 (Policy Rules->TE Rules) passwd_exec_t (/usr/bin/passwd) の実行権限? - 情報フローの追跡 (Analysys->Transitive Information Flow) httpd_t が var_t に対して何ができるか?

20 SETools の活用法 3 SeAudit - 監査メッセージの解析ツール - - ログの確認 - ポリシーの検索 (/sbin/tune2fs) 1. sysadm_t->fsadm_exec_t,(file) 2. user_t->fsadm_exec_t,(file) 3. setenforce 1 して user_t で tune2fs する

21 Reference Policy について将来のデフォルトポリシーになる予定強固なモジュラー構造リソースに対する抽象化されたアクセスとカプセル化コンポーネント毎のセキュリティ目標開発者が本当に必要なものを選択可能文書化複雑な SELinux ポリシーをわかりやすく

22 Reference Policy について 2 開発ツールのサポートグラフィカルなツール用のバックトレースインタフェースにより開発理解解析と確認を簡単に将来性標準的なものや MLS など様々なポリシーローダブルポリシーをサポートする柔軟なベースポリシー様々なセキュリティ目標とアプリケーションのための基盤ポリシーとして OS を保護する

23 Reference Policy について 3 アプリケーションに対するバリエーション同一のアプリケーションに対してセキュリティの重点が異なる複数のポリシーを提供する Multi-Level Security MLS はそのままのポリシーでサポートされる MLS と non- MLS は設定によって切替え可能になる入手先 - Security Enhanced Linux Reference Policy -

24 御清聴ありがとうございました

使いこなせて安全なLinuxを目指して

使いこなせて安全なLinuxを目指して [email protected] Linux Linux(DAC) 2005/6/2 Copyright (C) 2005 NTT DATA CORPORATION. 1 Linux Linux NO SELinux Yes 2005/6/2 Copyright (C) 2005 NTT DATA CORPORATION. 2 2005/6/2 Copyright (C) 2005 NTT

目次 Hardened Gentoo での SELinux の導入 導入するときの注意点 Hardened Gentoo と Fedora Core 4 との違い例題 : id_t, id_exec をつくってみる SETools の活用法 Apol seaudit Reference Policy

目次 Hardened Gentoo での SELinux の導入導入するときの注意点 Hardened Gentoo と Fedora Core 4 との違い例題 : id_t, id_exec をつくってみる SETools の活用法 Apol seaudit Reference Policy