2006年3月 6日

[selinux-users:01455] Re: execmem ?


中村です。

On Sun, 5 Mar 2006 17:06:04 +0900
Shintaro Fujiwara wrote:
> execmem という、アクセスベクタなんですが、
> メモリを使うって事なんですかね。
これは、かなりわかりにくいものです。

一行でまとめると、メモリのパーミッションを「実行可」に変える操作を制御します。
以前、NSAのMLに質問したことがあります。
http://marc.theaimsgroup.com/?l=selinux&m=113440812327410&w=2
Exec Shieldを使っている環境で、
バッファオーバーフロー攻撃の成功率を低くする効果があるそうです。。
#どれくらい低くなるかはかなり疑問ですが。。

以下が参考文献です。
#かなり難しいです
http://people.redhat.com/drepper/selinux-mem.html
http://people.redhat.com/drepper/dsohowto.pdf
http://people.redhat.com/drepper/nonselsec.pdf

本場的には、このパーミッションを許さない方向で、
アプリケーションを書き換えたりしてます。

個人的には、バッファオーバーフローされた後の防御が
SELinuxの守備範囲なので、execmemにこだわる必要は低いと思っています。

> SELinuxの設定で悩むとは...。
> 結局、
> allow httpd_t self:process {execmem};
> としました。
現実的には、これでいいと思います。

--
---
Yuichi Nakamura
Japan SELinux Users Group(JSELUG)
SELinux Policy Editor: http://seedit.sourceforge.net/

投稿者 xml-rpc : 2006年3月 6日 12:45
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/32842
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。