第10回 ACL設定のステップバイステップ
面 和毅サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
シニアマネージャ
2006/9/8
本連載では、これまでLIDSのACLを設定する際に必要となる知識を紹介してきました。今回から実際のアプリケーションを例にして、ACL/ケーパビリティを設定する方法を紹介します。
今回も説明のためにVMwareイメージを用いて解説します。実際に手元で設定ファイルなどを確認したい場合には以下のURLからVMwareイメージをダウンロードしてください。
| 【atmarkIT VMware Images】 http://www.selinux.gr.jp/LIDS-JP/atmarkit.html |
VMwareイメージのアップデート
いままで使用してきたVMwareイメージを、aptを用いてアップデートする方法を説明します。更新だけでなくパッケージを追加する場合も同様の手順で作業を行います。
1.rootでログインし、LFSを開く
| # lidsadm -S -- -LIDS SWITCH enter password: |
2.aptコマンドでアップデートする
| # apt-get update ; apt-get upgrade -y |
3.inodeが変更されている可能性があるので、inode情報を整合する(ここでは/root/scripts以下のスクリプトを用います)
| # /root/scripts/lids.update.sh |
4.LFSを閉じる
| # lidsadm -S -- +LIDS SWITCH enter password: |
ここで注意が必要です。loginやtty関連のファイルがアップデートされると、LIDS-2系列では/root/scripts/lids.update.shを実行しても更新情報が不足していることがあります。そのため、loginやssh(リモートから作業を行っているとき)などのファイルがアップデートされた場合には、/root/scriptsディレクトリに移動し、
| # cd /root/scripts # ./install.sh |
としてACLの再インストールをしておいた方がよいでしょう。
vsftpdを使ってのACLを設定してみる
例としてvsftpdを用いてACLの設定方法を見てみましょう。せっかくですから、vsftpdを(LIDS-1系列のみですが)サンドボックス化してからACL/ケーパビリティを設定したいと思います。以下、サンプルのVMwareイメージを用います。
1.VMwareイメージを起動する際に、ブートプロンプトで「lids=0」としてLIDSを無効化する
2.vsftpdパッケージをインストールする(aptコマンドを使用)
| # apt-get install vsftpd |
3./etc/vsftpd.confファイルを修正する
サンプルとして「ローカルユーザーでのログインを許可」と「ftpクライアントからのファイルのアップロードを許可」を行いたいので、/etc/vsftpd.confファイルにある以下の2つの設定のコメントを外します。
| # Uncomment this to allow local users to log in. local_enable=YES # # Uncomment this to enable any form of FTP write command. write_enable=YES |
4.ACLを設定する
ACL設定の例として、以下のようなシェルスクリプト(/root/scripts/services/lids.vsftpd.sh)を作成します。
| #!/bin/sh |
| #Sandboxing ― (A) /sbin/lidsconf -A -s /usr/sbin/vsftpd -o LIDS_SANDBOX -j ENABLE |
| #Hide vsftpd.conf file except vsftpd itself ― (B) /sbin/lidsconf -A -o /etc/vsftpd.conf -j DENY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /etc/vsftpd.conf -j READONLY |
| #need to READONLY whole linked libraries ― (C) /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /lib/libwrap.so.0 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /lib/libnsl.so.1 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /lib/libpam.so.0 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /lib/libdl.so.2 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /lib/libresolv.so.2 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /lib/libutil.so.1 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /lib/libcap.so.1 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /usr/lib/i686/cmov/libssl.so.0.9.7 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /usr/lib/i686/cmov/libcrypto.so.0.9.7 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /lib/libc.so.6 -j READONLY /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o /lib/ld-linux.so.2 -j READONLY |
| #for BIND ftp port ― (D) /sbin/lidsconf -A BOOT -s /usr/sbin/vsftpd -o CAP_NET_BIND_SERVICE 21 -j GRANT /sbin/lidsconf -A POSTBOOT -s /usr/sbin/vsftpd -o CAP_NET_BIND_SERVICE 20,21 -j GRANT |
| #for logging ― (E) /sbin/lidsconf -A -s /usr/sbin/vsftpd -o /var/log/vsftpd.log -j APPEND |
| #for changing UID/GID when it run from service ― (F、G) /sbin/lidsconf -A POSTBOOT -s /usr/sbin/vsftpd -o CAP_SETUID -j GRANT /sbin/lidsconf -A POSTBOOT -s /usr/sbin/vsftpd -o CAP_SETGID -j GRANT |
最初に/usr/sbin/vsftpdをサンドボックス化しています(A)。
次に、/etc/vsftpd.confは設定ファイルであり重要なファイルなので、すべてのステート(GLOBAL)でDENYとして、vsftpd以外のプログラムからは完全に見えないようにします(B)。また、vsftpdは起動する際に/etc/vsftpd.confを参照するので、BOOTステートでREADONLYのアクセス権限を与えます。
vsftpdをサンドボックス化したため、vsftpdが使用しているライブラリに対してBOOTステートで読み込み権限を与える必要があります。lddコマンドを用いてライブラリを調べ、それらに読み込み権限を与えます(C)。
| # ldd /usr/sbin/vsftpd |
このコマンドで出力されたファイルに対して、BOOTステートで読み込み権限を与えていきます。
vsftpdがポート20と21を使用するため、vsftpdに20、21番ポートをバインドできるようにケーパビリティを与えます(D)。通常、コントロールコネクションは起動して21番ポートをバインドして待ち受けているため、BOOTステートで21番ポートを使用できるようにします。また、実際にftpサーバを使用する際には、データコネクションとして20番ポートを使用することになりますので、POSTBOOTステートで20番ポートを使用できるようにします。
vsftpdが/var/log/vsftpd.logにログを出力します。そのため、vsftpdに対して/var/log/vsftpd.logファイルへの書き込み権限を与えます(E)。
vsftpdはFTPクライアントからの接続を受け、ログイン認証を通過した後に、子プロセスの実効Userを変更して生成します。そこで、POSTBOOTステートでvsftpdに対しCAP_SETUIDとCAP_SETGIDのケーパビリティを与えます(F)。
今回はanonymous ftpを許可しています。anonymousでログインした際にvsftpdがchrootを行えるように、POSTBOOTステートでCAP_SYS_CHROOTを与えます(G)。
これでvsftpdの主な設定が終わりました。シェルスクリプトを実行してACLを反映し、コンパイルしてから、システムを再起動しましょう。今度はLIDSが有効な状態(REBOOTプロンプトで何も指定しない)で起動します。
| # /root/scripts/services/lids.vsftpd.sh # lidsconf -C # reboot |
5.vsftpdに対してエラーが表示される
再起動後にログインしてvsftpdのプロセスを確認すると、vsftpdが動作していないことが分かります。/var/log/syslogを確認すると、vsftpdに対して次のようなエラーが出力されています。
| Aug3 12:35:21 localhost kernel: LIDS:start-stop-daemon (dev 3:1 inode 80331) pid 740 ppid 1 uid/gid (0/0) on (null tty) : Attempt to open /var/run/vsftpd/vsftpd.pid for writing, flag = 33346 |
このエラーによれば、「start-stop-daemonが/var/run/vsftpd/vsftpd.pidを書き込もうとしたので拒否した」となっています。start-stop-daemonは/etc/init.d/vsftpdで呼び出されていますので、システム起動時に/etc/init.d/vsftpdから呼び出されたstart-stop-daemonプログラムがPIDファイル(/var/run/vsftpd/vsftpd.pid)を作成しようとしてエラーになっているようです。
従って、この部分のACLを追加する必要があります。これには、
- start-stop-daemonプログラムに権限を直接与える
- /etc/init.d/vsftpdプログラムに権限を与え、そのプログラムから呼び出された子プロセスに権限を継承させる
という2通りのやり方があります。
|
1/3
|
 |
| Index | |
| ACL設定のステップバイステップ | |
 |
Page1 VMwareイメージのアップデート vsftpdを使ってのACLを設定してみる |
| Page2 権限の継承 権限の継承の問題点 |
|
| Page3 vsftpdの動作テストをする |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
