必殺！sesearch！

日本セキュアOSユーザ会

(@ishikawa84g)

1

どんな話？

ポリシーファイルを読まずにポリシーを知る魔法のツールの話

2

セキュリティポリシー

セキュリティポリシー

「誰が」「何に対して」「何をできる」のルールセット

セキュリティポリシーに基づいてリファレンスモニタが意思決定を行う

明示的な許可のない組み合わせは全て禁止ホワイトリスト方式

SELinux ではセキュリティコンテキストを利用する

3

セキュリティコンテキスト(1)

セキュリティコンテキスト

セキュリティモデル上の識別子

誰(Subject)・何(Object)・何を(Action) の識別子

ファイル・プロセス・ユーザ・ソケットなど全てに付与

system_u:system_r:httpd_t:s0

staff_u:staff_r:staff_t:s0-s0:c0.c123ユーザ

ファイル system_u:object_r:shadow_t:s0

プロセス

4

セキュリティコンテキスト(2)

system_u:object_r:shadow_t:s0

ユーザ属性 ロール属性 タイプ属性 機密ラベル

ユーザ属性

サブジェクトやオブジェクトに付ける SELinux の ユーザID

ロール属性

ユーザに割り当てる権限の範囲を定義したもの

ロールが不要なオブジェクトにはダミーロール(object_r)を付与

タイプ属性

SELinux がアクセス可否を判定する時に使用するセキュリティ属性

プロセスに付与すると : ドメイン

ファイルに付与すると : タイプ

機密ラベル

組織・役職などで分ける識別子 5

sesearchコマンド

sesearch 定義済みのポリシーを検索する

書式 sesearch [OPTIONS] RULE_TYPE [RULE_TYPE ...] [EXPESSION] [POLICY ...]

よく使うオプション -A Allow を出力

-T ドメイン遷移を表示

-C Boolean を設定した場合のポリシーを出力

-s scontext を指定

-t tcontext を指定

-c class を指定

6

httpd_t 関連の Allow Rule

# sesearch -A –C | head -100

# sesearch -A -C -s httpd_t

# sesearch -A -C -s httpd_t -c file

# sesearch -A -C -s httpd_t -t httpd_sys_content_t -c file

7