2009年9月17日

[debian-users:52999] Debian Stable/Lennyのバッファオーバーフロー対策

こんにちは、mejikoです。いつもお世話になります。

昨日からカーネルのセキュリティーについていろいろ考えるようになり、何か対
策はないか考えています。

特に心配なのが、バッファオーバーフローについての対策です。アップデートす
ればすむ話ですが、もしそのアップデートがこないまでの間、どう対処してよい
か心配になったのです。


FedoraやCentOSでは「exec-shield」や「SELinux」で対応しているようです。
Ubuntuでは「AppArmor」を実装しているそうです。

Debianではどのようなバッファオーバーフロー対策ができるのだろうかと調べて
いくと、Debianの公式リポジトリではSELinuxとexec-shieldの二つが利用可能で
した。しかし後者は「Lenny」になく、次期リリース(テスト版)にパッチとし
て配布されていたので諦めました。(カーネルの再コンパイルは時間かかり、難
しそうです。また、新しいカーネルがでたときには、また作り直さないといけま
せん……)

ただ、カーネルの「randomize_va_space」が「2」となっていて、デフォで有効
になっていました。(これってバッファオーバーフロー対策に効果はあります
か?)


もう一方の「SELinux」(いわゆるセキュアOS)ですが、現在導入を検討してい
ます。

ただ心配なことがあります。メールサーバー「exim」についてです。Debianの公
式Wikiや「README」も読みましたが、eximのポリシーファイルが存在しません。
バグ報告もされています。

ポリシーファイルがなければ、無条件で拒否されてしまいますよね?(たぶん)
いったいどのように対処すればよいか心配です。

http://wiki.debian.org/SELinux/Setup#mailservers.28postfix.2BAC8-exim.2BAC8-etc.29


また、よくSELinuxのせいで動作しなくなるプログラムもあると聞きます。そこ
ら辺も心配です。(その都度SELinuxを無効化したりすることで解決していると
かありますけど)

もしこれ以外にバッファオーバーフロー対策としてやっていることがあればご
教示くだされば幸いです。(できればカーネルの再コンパイルの不要な
「SELinux」を使いたいのですが……。どうしてもカーネルの再コンパイルはした
くありません。)


以上、無茶な質問で申し訳ありません。よろしくおねがいします。

なお、Debianのバージョンは安定版(lenny/stable)の5.0.3 、カーネルのバー
ジョン 2.6.26-2-686 (Debian 2.6.26-19)な環境です。

投稿者 xml-rpc : 2009年9月17日 13:36
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/88634
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。