前回はSELinuxの機能を利用したドメインを作成し、制御する方法を紹介しました。この際、ポリシーを追加し、許可の要/不要を吟味しました。今回はこのポリシーをより詳しく解析していきましょう。
前回、logstashドメインを作成してポリシーを付け加えていきました。また、ポリシーを追加していく際には本当にその許可が必要なのかを吟味する必要があることも説明しました。
前回の作業を繰り返して行った結果、以下のようなlogstash.teファイルが出来上がっていると仮定します(図1)。今回は、このファイルから生成されたポリシーを解析します。
logstashドメインを解析する
ドメイン解析を、logstash_tドメインに対しても行っていきます。
まずlogstashですが、プログラムである以上(悲しいことですが)バグや脆弱性が発生することは避けられません。logstashの過去の脆弱性に関しては、Elasticスタック製品全体の脆弱性のサイトに載っています。今回は、この中で「(ファイル出力プラグイン: 今回のようなログをファイルへ出力する、インストール済みのプラグイン)でのディレクトリートラバーサルの脆弱性」(CVE-2015-4152)が発生したと仮定します。