Sesearch

541 views
439 views

Published on

0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
541
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
1
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide
  • たまに *****_t で終わらない表示が現れる
    # seinfo -a -x で確認
  • Sesearch

    1. 1. 必殺!sesearch! 日本セキュアOSユーザ会 (@ishikawa84g) 1
    2. 2. どんな話?  ポリシーファイルを読まずにポリシーを知る魔法 のツールの話 2
    3. 3. セキュリティポリシー  セキュリティポリシー  「誰が」「何に対して」「何をできる」のルールセット  セキュリティポリシーに基づいてリファレンスモニタが意思決定 を行う  明示的な許可のない組み合わせは全て禁止  ホワイトリスト方式  SELinux ではセキュリティコンテキストを利用する 3
    4. 4. セキュリティコンテキスト(1)  セキュリティコンテキスト  セキュリティモデル上の識別子  誰(Subject)・何(Object)・何を(Action) の識別子  ファイル・プロセス・ユーザ・ソケットなど全てに付与 system_u:system_r:httpd_t:s0 staff_u:staff_r:staff_t:s0-s0:c0.c123ユーザ ファイル system_u:object_r:shadow_t:s0 プロセス 4
    5. 5. セキュリティコンテキスト(2) system_u:object_r:shadow_t:s0 ユーザ属性 ロール属性 タイプ属性 機密ラベル  ユーザ属性  サブジェクトやオブジェクトに付ける SELinux の ユーザID  ロール属性  ユーザに割り当てる権限の範囲を定義したもの  ロールが不要なオブジェクトにはダミーロール(object_r)を付与  タイプ属性  SELinux がアクセス可否を判定する時に使用するセキュリティ属性  プロセスに付与すると : ドメイン  ファイルに付与すると : タイプ  機密ラベル  組織・役職などで分ける識別子 5
    6. 6. sesearchコマンド  sesearch  定義済みのポリシーを検索する  書式  sesearch [OPTIONS] RULE_TYPE [RULE_TYPE ...] [EXPESSION] [POLICY ...]  よく使うオプション  -A Allow を出力  -T ドメイン遷移を表示  -C Boolean を設定した場合のポリシーを出力  -s scontext を指定  -t tcontext を指定  -c class を指定 6
    7. 7. httpd_t 関連の Allow Rule  # sesearch -A –C | head -100  # sesearch -A -C -s httpd_t  # sesearch -A -C -s httpd_t -c file  # sesearch -A -C -s httpd_t -t httpd_sys_content_t -c file 7

    ×