第7回 LIDSのACLをチューニングする

面 和毅
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
シニアマネージャ
2006/6/2

 前回「TDEポリシーとアプリケーションのサンドボックス化」では、TDE(Trusted Path Execution)とサンドボックスについて説明しました。これで一通り、機能の説明が終わりましたので、今回からはLIDSのコマンドの使用方法や、実際のACL設定方法を詳しく見ていきましょう。

 LIDSを実際にインストールしてみよう

 いままではLIDSがすでに設定されているVMwareイメージを使用して説明していました。今回からは実際にユーザーの環境にLIDSをインストールするための方法を簡単に説明します。

 LIDSは、LIDS-1系列/LIDS-2系列ともに

  • カーネルに当てるパッチ
  • lidstools(LIDSを設定するためのコマンド集)

の2つからできており、最新版がLIDSのWebサイトからダウンロードできます。

LIDS公式サイト
http://www.lids.org

 LIDSのパッチは、基本的にftp.kernel.orgからダウンロードできる「素」のカーネルに対して当てるように構成されています。それ故、LIDSを導入するには、ユーザーが利用中のディストリビューションから提供されているカーネルではなく、素のカーネルでシステムが立ち上がるようにする必要があります。

 しかし、LIDS-JPのメンバーの協力により、LIDSパッチをすでに当ててある各ディストリビューションのカーネルパッケージやlidstoolsのパッケージが提供されています。ディストリビューション依存のカーネルを使用したい場合には、LIDS-JPサイトをチェックしてみてください。

LIDS-JP公式サイト
http://www.selinux.gr.jp/LIDS-JP

 素のカーネルでLIDSをインストールする手順は、

  1. 素のカーネルでシステムが立ち上がるようにする
  2. 素のカーネルソースにLIDSパッチを当てる
  3. menuconfigなどでLIDSのオプションを選び、LIDSパッチが当たったカーネルをmakeする
  4. lidstoolsをmakeして、インストールする。この際、LFS(後述)用のパスワードを設定する
  5. システムをACL_DISCOVERYモード(後述)にして再起動する

という順番になります。

 カーネルパッケージがRPMなどで提供されていた場合には、

  1. RPMでカーネルパッケージをインストールする
  2. RPMでlidstoolsパッケージをインストールする。この際、「lidsconf -P」でLFS用のパスワードを設定する
  3. システムをACL_DISCOVERYモードにして再起動する

となります。

 LIDS-1系列のカーネルオプションの詳しい説明は、http://www.selinux.gr.jp/LIDS-JP/document/Configure.help.jp.txtにありますので参考にしてください。

 LIDS Free Session(LFS)

 LIDSのアクセス制御はMAC(強制アクセス制御)になっており、システム起動中は変更できなくなっています。LIDSの導入されたシステムが運用されている間は、ACLを変更するには、システムを再起動してGRUBやLILOで「lids=0」というパラメータを入力する必要があります。

 しかし、システムが本番運用される前のACL調整時に、毎回システムを再起動してACLを設定していくのは非常に不便です。そのため、LIDSではLIDS Free Session(LFS)が用意されています。

 LFSはLIDSの制限を一切受けないセッションになります。LFSを使用することにより、そのセッションでACLを調整して、システムにACLを再読み込みさせることが可能になり、毎回システムを再起動する必要がなくなります。

 LFSには、パスフレーズによる認証がかかっています。また、LFSを使用できる端末をシリアル端末のみにしたり、システムコンソールのみにしたりするなどの制限をかけられるので、一定のセキュリティを保つことが可能です。

 また、LFSを無効にすることにより、システム運用中には完全にACLの変更ができないようにすることも可能です。これは、カーネルのオプションで選択できます。

1/4

Index
LIDSのACLをチューニングする
Page1
LIDSを実際にインストールしてみよう
LIDS Free Session(LFS)
  Page2
ACL_DISCOVERYモード
lidstools
lidsadmコマンド
  Page3
lidsadm -V
  Page4
lidsadm -I
lidsadm -S -- +/-"状態フラグ"


Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH