2007年10月21日

[selinux-users:02031] Re: Default Linux Capabilities とはどういうものですか?

tyatsumi@xxxxx wrote:
>> SELinux が Capabilities を特別扱いしてるということです。
>> ...
>> というわけで、SELinux と BSD Jail は同時に動かすことができません。
>
> そうでしたか。
> 無駄な努力をする前に教えてもらってたすかりました。
>

>> (余談2)
>> あと、彼の BSD Jail のパッチも見てみましたが、セキュリティ上の目的でこれを
>> 利用するのは危険ですねぇ…。
>
> そうなんですか‥。
> うーん、残念です。
>
> ありがとうございました。勉強になりました。

先月、LKML(Linux Kernel Mailing List)で chroot jail の話が話題になっており、
ちょうど追いかけていたのでした。

http://lwn.net/Articles/252794/

原理としては、chroot() システムコールはカレントディレクトリを変更しないため、
jail下の別ディレクトリに対して chroot() した後で、chdir("..") を繰り返すと、
やがてカレントディレクトリはグローバルな "/" に移動します。
# chroot()した時点で、別の jail が存在することになり、その時点で元の jail が
# 消えるのだと考えてください。

で、この状態で chroot(".") を実行すると、元のグローバルなファイルシステムが
見えてしまいます。

なので、chroot jail はそもそもセキュリティ目的で使ってはならない、ということに
なっています。
ちなみに、VFS Jailを売りにしている某Nature's Linuxはこの辺の対策をしていて、
jail内では chroot(), mknod(), mount() が不可となっているのだとか。
仕事が細かいと妙なところで感心した次第。
--
KaiGai Kohei <kaigai@xxxxx>

投稿者 xml-rpc : 2007年10月21日 00:44
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/65480
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。