2008年2月11日

[selinux-users:02102] Re: カーネルのセキュリティホール&SELinuxキオスク

こんにちは、藤原@最近はtargetedユーザ、です。

08/02/11 に himainu-ynakam@xxxxx <himainu-ynakam@xxxxx> さんは書きました:
>
> 中村です。
> 長らくご無沙汰しています。
>
> カーネルのセキュリティホールが見つかり、

> ローカルから、rootに昇格できるそうです。
> 検証コードも公開されています。
> http://slashdot.jp/security/08/02/11/0012230.shtml
> これは、かなり危ないセキュリティホールです。
>
> こんな時のためのSELinuxなのですが、
> 手元で試してみました。
>
> まず、targetedポリシのログインユーザから。
> あっさりrootになれてしまいます。
> かつ、ドメインはunconfined_tなので、ジエンドです。
> これは想定通りです。
> targetedポリシでは、ログインユーザはunconfined_tドメインです。
> 「unconfined_tドメインのものがやられるとおしまい」というのは、
> やはり正しいです。


# semanage login -a -s user_u -r s0 test
で、testユーザは大丈夫でしょうか?
#id -Zで、
user_u:system_r:unconfined_tでした。
これではやっぱりダメでしょうか。

ご指導、よろしくお願いいたします。

一方、ログインユーザにSELinuxをちゃんと設定したらどうなるか。
> 今度は大丈夫です。
>
> Fedora8では、
> キオスクユーザアカウントというのを簡単に設定できます。
> それを使います。↓
> http://danwalsh.livejournal.com/13376.html
> キオスクユーザーを設定し、
> ログインユーザをxguest_tドメインで動かし、
> 検証コードを実行すると、rootにはなれますが、
> xguest_tドメインなので、何も悪さはできません。
>
> 今回のセキュリティホールは、セキュアOSの効果と限界を見れる好例だと思います。
>
> ついでに宣伝なのですが、以前日経Linuxさんに書いた
> SELinux記事が、↓にアップされています。
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070827/280411/
> CentOS5のSELinuxなど、新しめのSELinuxにも概ね使えますので、
> SELinuxの情報源が無くて困っている方は参考にして下さい。
>
> --
> Yuichi Nakamura
>
>
>
>


--
http://intrajp.no-ip.com/ Home Page

投稿者 xml-rpc : 2008年2月11日 19:07
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/73935
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。