OpenStack & SELinux

1,386 views

Published on

現段階で OpenStack のどこに SELinux を使うのが一番楽か

Published in: Technology
1 Comment
2 Likes
Statistics
Notes
No Downloads
Views
Total views
1,386
On SlideShare
0
From Embeds
0
Number of Embeds
23
Actions
Shares
0
Downloads
16
Comments
1
Likes
2
Embeds 0
No embeds

No notes for slide

OpenStack & SELinux

  1. 1. OpenStack on SELinux
  2. 2. SELinux とは● Linux におけるリファレンスモニタの一つ● 強制アクセス制御の機能を提供 – root でも回避不能なアクセス制御● 最小特権の機能を提供 – 必要な権限を必要なだけ与える● 「誰が」「何に」対して「何をできる」
  3. 3. Q. 簡単に効く箇所はどこか● A. nova-compute – KVM & SELinux = sVirt – libvirt を拡張し SELinux と連携● SELinux なマシンで KVM を動かすだけで絶大な 効果を得られる● 他でも効果はあるが運用コストが高くなる● 活用事例 : IBM Smart Business Cloud Enterprise
  4. 4. sVirt が守るもの● 仮想マシン1. qemu/kvm に未知の脆弱が見つかる2. qemu 権限で任意のコードを実行3. 他の VM に対する攻撃を実行 or ホスト OS に対する攻撃を実行
  5. 5. sVirt が守るもの
  6. 6. 仕組み● 仮想マシン毎に仮想的な組織を付与 – 異なる組織同士のアクセスは禁止# ps axZ | grep qemusystem_u:system_r:svirt_t:s0:c87,c520 27950 ? 00:00:17 qemu-kvmsystem_u:system_r:svirt_t:s0:c65,c381 27950 ? 00:00:17 qemu-kvm
  7. 7. デモ● 現状、 VM から VM への脆弱が見つからな いので攻撃はしない● 簡単なデモでご勘弁を。● 組織を利用したアクセス制御
  8. 8. デモ● 3 ユーザを 3 組織に所属させる – opsuser01: c1 – opsuser02: c2 – opsuser03: c0.c2 (c0,c1,c2)● 4 ファイルを 4 組織に所属させる – /tmp/000.txt: c0 ( 権限 : 777) – /tmp/001.txt: c1 ( 権限 : 777) – /tmp/002.txt: c2 ( 権限 : 777) – /tmp/003.txt: c3 ( 権限 : 777)

×