2007年6月15日

[selinux-users:01913] Re: cap_overrideオブジェクトクラス

kaigai@xxxxx さんは書きました:
> 本家のSELinux-MLでは、Stephen Smalley の投稿した
> "enable: authoritative granting of capabilities" のパッチの話題で
> 非常に盛り上がっているようです。

確かに「AppArmorのスレッド並に」盛り上がってますね。

> 私も、これはある種エポックメイキングなパッチだと思います。


・・・
> Stephen のパッチを適用すると、この動作が以下のように変わります。
> 1. セキュリティポリシーで allow 俺 self:cap_override { ... } されている
> ことを確認
> 2. もし、(1)が_禁止_されていたら、プロセスが root ケーパビリティ cap を
> 持っていることを確認。NGだったら即座にdenyを返す。
> 3. セキュリティポリシーで allow 俺 self:capability { ... } されている
> ことを確認
>
> つまり、今までは SELinux を適用した環境であっても、root特権を必要とする
> 操作には SetUID プログラムが必要だったのを、ドメイン遷移によって記述で
> きてしまうということになります。
>
> 例えば、passwdコマンド(passwd_exec_t)の実行によって passwd_t ドメインに
> 遷移して、passwd_t ドメインに cap_override:{ dac_override } パーミッション
> を付けておけば、もはや passwd コマンドが SetUID である必要がないという
> 仕掛けです。

面白いですね。

これをやると、きっとpasswdコマンド等cap_overrideを与える対象を
まとめておきたく(集めたく)なるような気がします。
また、その次には実際にsetuidをなくしたくなるのではないかと思います。
もし本当にそうなったら、SELinuxと普通の環境をそのときの
気分で使い分けるのではなく、SELinuxの環境は実質的に
SELinux専用になりますね。SELinuxだけ考えると
さらに強化されても、それ以外を考えるとさらにややこしく
なるような気がして少し心配です。

> # passwd は /etc/shadow を参照/編集するために root 特権が必要
>
> 言われてみるとナルホドー、ですが、これを思いつくのは凄いですね。

Stephen、ただものではありませんね・・・。(-_-; 敵にしたくないです

--
原田季栄 (Toshiharu Harada)
haradats@xxxxx


投稿者 xml-rpc : 2007年6月15日 19:23
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/60236
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。