第8回 Multi Level Securityで機密ファイルを管理する

古田 真己
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
2006/11/28

 社内機密ファイルの運用・管理をMLSで実現

 MLSの活用例として、機密ファイルがいっぱい詰まったファイルサーバを考えてみることにしましょう。このファイルサーバ上ではVNCサーバが動作しており、機密ファイルへのアクセス方法はWindowsデスクトップからのVNC接続だけに制限されています。

図2 重要情報の管理

 つまり、リモートからログインするユーザーはすべてSELinux(MLS)のルールに従って、機密ファイルへのアクセスを管理されることになります。

 それでは、実際の環境設定を始めてみましょう。

 インストールとRaw Hideへのアップデート

 正式リリースされたFC-6-i386-DVD.isoを使用してインストールします。パッケージの選択画面ではOpenOffice.org関連のパッケージを追加しておいてください。あとは、特に変更点はなくインストールを終了します。

 再起動後の初期設定時(Firstboot)ではSELinuxをPermissiveモードに設定してください。ログイン後には「yum upgrade」を行い、FC6を最新の状態にしてください。

●Raw Hide(開発バージョン)へのアップデート

 今回の作業に当たり、さまざまな修正が適用されている開発バージョンにアップデートする必要があります。

 Raw Hideへのアップデートには、まず開発版のFedoraリリースRPMパッケージをインストールして、アップデート用のYumリポジトリを更新した後、さらに「yum upgrade」を実行する必要があります。

[root@localhost ~]# wget ftp://download.fedora.redhat.com/pub/fedora/linux/core/
development/i386/os/Fedora/RPMS/fedora-release-6-89.noarch.rpm ← ここでは「download.fedora.redhat.com」から取得する例だが、実際には近いミラーサーバから取得するのが望ましい
[root@localhost ~]# rpm -Uvh --nodeps fedora-release-6-89.noarch.rpm ← fedora-release-noteパッケージとの依存関係のエラーが出るため、「--nodeps」でインストールする
図3 リリースRPMパッケージの入手とインストール

 リリースファイルをインストールしたら、「yum upgrade」を実行して、気長に待ってください。もし、作業実施日のRaw Hideの依存関係が壊れているときはうまくアップデートできませんので、別の日に試すか、自分でパッケージの競合を手で取り除いてください【注1】

【注1】
Raw Hide(開発版)は必ずしもパッケージを正しくアップデートできません。この作業自体とても危険なので、今回の環境を再現したい場合は、必ずテスト機を用意して行ってください

 サーバ側接続環境のセットアップ

 今回の環境では、リモートからVNCで接続して、XDMCPでログインします。リモート接続用のxinetd用とVNCの設定ファイルを、以下のパッケージでFC6の標準インストールに追加します。

パッケージ名
内容
xinetd-2.3.14-8 xinetdインターネットスーパーサーバ
vnc-ltsp-config-4.0.3 VNCをxinetdから起動するためのコンフィギュレーションファイル
表3 追加パッケージ

 「yum -y install vnc-ltsp-config」でインストールを行えば、依存関係を含めて解決してくれます。

●gdmの追加設定

 次にFC6標準のgdmへのログイン設定を行います。デフォルトの設定ではXDMCPでのログインは許可されていないため、以下の設定を/etc/gdm/custom.confへ追加します。

 設定はcustom.confの[security][xdmcp]の項目に対して行います。今回は、LAN内であることと、SELinuxの設定をrootで簡単に行いたいことから、それに合わせて設定を記述します。

[security]
DisallowTCP=false ← TCP接続を有効にする
AllowRoot=true ← rootユーザーでのログインを有効にする
AllowRemoteRoot=true ← リモートからのrootユーザーでのログインを有効にする
図4 [security]項目への追加

[xdmcp]
Enable=true
図5 [xdmcp]項目への追加

●/etc/inittabへの変更

 そのほか、ランレベル3での起動、gdm起動の設定が必要です。

id:3:initdefault: ← 起動時のランレベル“5”から“3”へ変更する(13行目)
   :
x:2345:respawn:/etc/X11/prefdm -nodaemon ← prefdm(デフォルトはgdm)の起動ランレベルを“5”から“2345”へ変更する(53行目)
図6 デフォルトランレベルの変更とgdmの起動設定

●/etc/fs/configへの追加設定

 最後にXフォントサーバ(xfs)を使用できるようにします。

#no-listen = tcp ← TCP接続を許可するために、コメントアウトする(33行目)
図7 Xフォントサーバの接続設定

2/4

Index
Multi Level Securityで機密ファイルを管理する
  Page1
FC6のリリースとSELinux
Page2
社内機密ファイルの運用・管理をMLSで実現
インストールとRaw Hideへのアップデート
サーバ側接続環境のセットアップ
  Page3
実際の動作をテストする
セキュリティコンテキストを調整する
  Page4
システムへのログインと実行ドメインの確認
運用に合わせたポリシーの修正と変更
重要ドキュメントとユーザーの管理


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH