2008年2月11日

[selinux-users:02103] Re: カーネルのセキュリティホール&SELinuxキオスク

On Mon, 11 Feb 2008 16:26:31 +0900
Tetsuo Handa wrote:
>  熊猫です。
>
> > これは、かなり危ないセキュリティホールです。
> うわ〜ん。せっかく TOMOYO 1.5.3 適用済みバイナリパッケージをコンパイルし終えたところだったのに
> また近日中に大量コンパイルする羽目になった〜。(x。x;
>

> > 検証コードを実行すると、rootにはなれますが、
> > xguest_tドメインなので、何も悪さはできません。
> TOMOYO Linux でできる対策としては、
>
> (1) ログイン認証の多重化を行うことでなりすましログインを防ぐ
>
> (2) 実行できるプログラムを予めインストールされているものだけに限定することで
>   エクスプロイトをダウンロードして実行されることを防ぐ
>
> (3) root ユーザと非 root ユーザでログインシェルのドメインを分離することで
>   非 root ユーザが root ユーザのドメインに遷移するのを防ぐ
>   (root ユーザと非 root ユーザで異なるログインシェルを割り当てる)
>
> といったところでしょうか。
SELinux的には、(2)が一番楽ですね。

> > こんな時のためのSELinuxなのですが、
> > 手元で試してみました。
> (カーネルのセキュリティホールの場合、)カーネル内のデータを改ざんできてしまうからには
> セキュアOSを使えば大丈夫という保証はできませんしねぇ。
カーネルの穴はきついですね。
今回のような、「セキュアOSを前提にしてない、攻撃スクリプト」程度なら防げるのですが。


--
Yuichi Nakamura

投稿者 xml-rpc : 2008年2月11日 22:59
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/69842
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。