• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

IoT時代の最新SELinux入門

SELinuxで今どきのログ収集サーバーを守る

面 和毅=サイオステクノロジー、協力:OSSセキュリティ技術の会 2017/08/03 日経Linux
出典:日経Linux 2017年8月号
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

 前回、SELinuxのアクセス拒否が原因で起きる問題を、いくつかの事例を見ながら確認しました。今回はさらに進んで、SELinuxの機能により、新たにアプリケーションに特定のドメインを作成して制御する方法を紹介します。

 SELinuxで新たにドメインを作成するにはいろいろな方法がありますが、一番簡単なのは「selinux-devel」のパッケージをインストールすることです。

 ただし、このパッケージはDevパッケージで開発環境を提供するため、ポリシーの開発は開発用サーバーで行い、本番環境には出来上がったポリシーのみをコピーする方が安全に本番環境を運用できます。

 以下、実例を使ってドメインの作成方法を見ていきましょう。

logstashのテスト環境を作る

 logの集中化と安全な保存は、運用管理の中でも(特に金融系など、官庁による査察などが入る場合には)重要なタスクになります。その中でも、logを集中化して可視化し予兆検知や管理をするシステムとして、logstash+ElasticSearch+Kibana(いわゆるELK)のシステムが注目されています。

 今回は、この中でも主要なパートになるログ収集部分の「logstash」をSELinuxにより保護することにします。

 logstashはログを収集し、転送する部分になります。logstashの開発元の米Elastic Search社のサイトにインストール方法が記載されていますので、オフィシャルの手順に従いインストールします(図1)。

図1●logstashパッケージをインストールする
[画像のクリックで拡大表示]

 次にlogstashの動作を確認するために、サンプルを作成します。システムログを監視対象として設定し、出力を/var/tmp/logstash-outputというファイルとして出力します。

 logstashは「logstash」ユーザで動くため、このままですと/var/log/messagesを開くときに「Permission Denied」が表示されてアクセスできません。そのため

  • logstashをrootで動かす
  • /var/log/以下のファイルの権限を緩くする

のいずれかが必要になります。今回は、/etc/rsyslog.confを修正し、所有者をlogstashにしたログファイル「/var/log/messages_logstash」を作成します。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 以降、図2の手順に従い、logstashを一通り...
  • 1
  • 2
  • 3
  • 4
  • 5

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    日本人SEが外資系ITに大量流出、これでいいのか?

     日本ハムの二刀流こと、大谷翔平選手のメジャー移籍が話題になっている。23歳という年齢は早すぎる気もするが、メジャーを熱望しながらプロ野球界にとどまった経緯を考えれば、当然の流れといえそうだ。もはや「なぜお前もメジャーに行くのか?」と嘆くよりも、大舞台での雄姿を早く見たいのではないだろうか。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る