第2回 ファイルACLを用いたアクセス制御

面 和毅
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
シニアマネージャ
2005/12/7

 前回は、セキュアOSが必要とされてきている背景と、その中でのセキュアOSの1つである「LIDS(Linux Intrusion Detection System)」の位置付けを簡単に説明しました。今回からLIDSの特徴とアクセス制御の方法をより詳しく見ていきましょう。

 LIDSのコンセプトと特徴

 LIDSでは、通常のLinuxのセキュリティ上の脆弱性を、

  1. rootアカウントがアクセス制御をう回できてしまうため、システムをクラックされてrootアカウントを取得されると重要なファイルを書き換えられてしまう可能性がある(任意アクセス制御:DACの脆弱性)
  2. プロセスをkillシグナルから保護する方法がない
  3. LKM(Loadable Kernel Module)をrootキットに悪用される危険性がある

ととらえています。これらの対策として、

  1. システムの重要なファイル/ディレクトリを保護して、rootアカウントやすべてのユーザーによるアクセスを制限する(強制アクセス制御:MAC)
  2. 重要なプロセスは、存在を隠す、あるいはkillシグナルから保護することにより、外部からクラックされてもサービスが落とされないようにする(プロセスの保護)
  3. 必要なモジュールを読み込んでシステムが起動した後に、通常運用中にはモジュールを読み込めないようにしてしまう(カーネルの封印)

を考えました。

 これらを実現するため、LIDSでは、

  1. ファイルACL
  2. Linuxケーパビリティ
  3. プロセスの保護

を用いてアクセス制御を行っています。

 今回はファイルACLを用いたアクセス制御について解説します。Linuxケーパビリティとプロセスの保護については次回以降に取り上げる予定です。

 LIDSのアクセス制御方法

 LIDSを導入したシステムでは、通常のUNIXにおいて「rwx」で表されるアクセス制御と、LIDSによるアクセス制御の両方が重ねられた形になります(図1)。

図1 LIDS ACLとLinux rwxによるアクセス制御の関係

 LIDS-1系列では、先にLIDSのアクセス制御で許可されたもののみが通常のrwxでのアクセス制御を受けることになります。これに対してLIDS-2系列では、通常のrwxでのアクセス制御で許可された場合にのみLIDSによるアクセス制御が加わります。そのため、通常のrwxでアクセスが拒否された場合には、LIDSのアクセス制御は行われません。

 LIDSでは、アクセス制御を行う際に、ファイルに対して付与されたアクセス権を参照します。LIDSによるファイルへのアクセス権は厳しい方から順に、

  • DENY(アクセス拒否)
  • READONLY(読み込みのみ)
  • APPEND(追記、および読み込み)
  • WRITE(書き換え、読み込み)

となっており、システムコールレベルでアクセス権をチェックされています。また、アクセス権をディレクトリに対して与えた場合には、そのディレクトリ内のファイル、およびサブディレクトリに対して再帰的にアクセス権が与えられるようになります。

 例えば/varディレクトリにREADONLYを与えた場合には、rootを含むすべてのユーザーやプロセスからは、/varディレクトリやそのサブディレクトリである/var/logなどに対して、読み込みのアクセスしかできなくなります。同様にWebコンテンツが収められている/var/wwwディレクトリをDENYにした場合には、すべてのユーザーやプロセスは/var/wwwディレクトリ以下のファイルにアクセスすることができなくなります(図2)。

図2 /varをREADONLYした場合

 しかし、これではApacheのプログラムであるhttpdもコンテンツファイルを読むことができなくなってしまい、正常に動作しなくなります。そのため、httpdからのみ/var/wwwディレクトリに対してREADONLYでアクセスできるように設定することができます(図3)。

図3 httpdからのみ読み込みを可能にする

1/3

Index
ファイルACLを用いたアクセス制御
Page1
LIDSのコンセプトと特徴
LIDSのアクセス制御方法
  Page2
LIDSの特徴、それは直感的な設定
ACL(Access Control List)
ファイルに対するアクセス制御のフロー
  Page3
LIDSの内部構造に迫る
LIDS-1系列でのファイルアクセス制御
LIDS-2系列でのファイルアクセス制御


Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH