2008年2月11日

[selinux-users:02100] カーネルのセキュリティホール&SELinuxキオスク

中村です。
長らくご無沙汰しています。

カーネルのセキュリティホールが見つかり、
ローカルから、rootに昇格できるそうです。
検証コードも公開されています。
http://slashdot.jp/security/08/02/11/0012230.shtml
これは、かなり危ないセキュリティホールです。


こんな時のためのSELinuxなのですが、
手元で試してみました。

まず、targetedポリシのログインユーザから。
あっさりrootになれてしまいます。
かつ、ドメインはunconfined_tなので、ジエンドです。
これは想定通りです。
targetedポリシでは、ログインユーザはunconfined_tドメインです。
「unconfined_tドメインのものがやられるとおしまい」というのは、
やはり正しいです。

一方、ログインユーザにSELinuxをちゃんと設定したらどうなるか。
今度は大丈夫です。

Fedora8では、
キオスクユーザアカウントというのを簡単に設定できます。
それを使います。↓
http://danwalsh.livejournal.com/13376.html
キオスクユーザーを設定し、
ログインユーザをxguest_tドメインで動かし、
検証コードを実行すると、rootにはなれますが、
xguest_tドメインなので、何も悪さはできません。

今回のセキュリティホールは、セキュアOSの効果と限界を見れる好例だと思います。

ついでに宣伝なのですが、以前日経Linuxさんに書いた
SELinux記事が、↓にアップされています。
http://itpro.nikkeibp.co.jp/article/COLUMN/20070827/280411/
CentOS5のSELinuxなど、新しめのSELinuxにも概ね使えますので、
SELinuxの情報源が無くて困っている方は参考にして下さい。

--
Yuichi Nakamura

投稿者 xml-rpc : 2008年2月11日 13:47
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/69780
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。