• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

オープンソース

[セキュアOS SELinux入門]第6回 最も簡単な設定方法

高橋 信頼=ITpro 2004/07/13 日経Linux

 Fedora Core 2のSELinuxでは,主要なサーバー・アプリケーションに関する設定があらかじめ用意されているものの,デフォルト(初期設定)では権限の設定が不十分なことから,きちんと動作しないアプリケーションがある。これに対処するには,ユーザーが設定を追加する必要がある。今回は,初期設定が不十分なアプリケーションを動作させるための,最も簡単な設定追加方法を紹介する。

ポリシーのソース・ファイルをインストールする

 Fedora Core 2でSELinuxの動作を設定するには,ポリシーのソース・ファイルをインストールする必要がある。「checkpolicy-1.10-1.i386.rpm」と「policy-sources-1.11.3-3.noarch.rpm」というRPMパッケージをFedora Core 2のインストールCD,またはFedora Coreのサイトから入手し,次のようにしてシステムにインストールする。

# rpm -ivh checkpolicy* policy-sources*

 インストールすると,/etc/security/selinux/src/policyディレクトリ内に,複数のディレクトリが展開される。これらが,ポリシーのソース・ファイルが収められたディレクトリである。中でも重要なディレクトリが,domainsディレクトリとfile_contextsディレクトリだ。

 domainsディレクトリには,「.te」という拡張子のファイルが複数存在する。これらのファイルには,TE(連載第2回参照)の設定が格納されている。つまり,「どのようなドメイン・タイプが存在し,これらのドメインがどのタイプにアクセスできるのか」という設定だ。file_contextsディレクトリには,「.fc」という拡張子のファイルが存在する。ここでは,「ファイルにどのタイプを付与するか」が設定されている。

ログに基づいて権限を追加する

 実はFedora Core 2に含まれるFTPサーバー・アプリケーション(vsftpd)では,初期設定のままではFTPでファイルを公開できない。なぜなら,vsftpdに付与された権限が不十分だからだ。そこで,vsftpdを例にして,必要な設定を簡単に補う方法を紹介する。

 設定を追加する前に,vsftpdがシステムにまだない場合は,次のようにネットワーク経由でインストールする。

# yum install vsftpd

続いて,vsftpdを起動する。

# chkconfig vsftpd on □
# /etc/rc.d/init.d/vsftpd start □

それから,vsftpdのドメインを確認する。

# ps -eZ □

 1752 system_u:object_r:ftpd_t /sbin/vsftpd /etc/vsftpd/vsftpd.cofn

赤字で表示したように,ftpd_tドメインで動作していることを確認しよう。

 続いて,ファイル転送のテストに使うファイル(test.txt)を作成する。

# echo "test" > /var/ftp/pub/test.txt

 test.txtにFTPでアクセスしてみる。ユーザー名は「Anonymous」,パスワードはなしでログインする。しかし,これでは,ログインには成功するもののファイル一覧に何も表示されず,ディレクトリの移動もできないため,先ほど作成したtest.txtファイルを入手できない。なぜならftpd_tドメインには,/var/ftpディレクトリ以下へのアクセス権限が付与されていないからだ。

 この状況を回避するには,ftpd_tドメインに対して,/var/ftpディレクトリ以下へのアクセス権限を与える必要がある。権限を与える最も簡単な方法は,アクセスが拒否されたときに記録されたログを調べて,足りない権限を追加するというものだ。その具体的な手順を示す。

(1) permissiveモードで不足している権限を調査する

 拒否されたアクセスを調査するために,permissiveモード(連載第5回参照)に切り替えて,動作テストを実施する。perimssiveモードで動作させれば,vsftpdが起動し終えるまでに拒否されたすべてのアクセスを把握できる。

 まず,permissiveモードに切り替える。

# setenforce 0
# getenforce
permissive

 再び,FTPでtest.txtにアクセスしてみると,今度はtest.txtをダウンロードできる。permissiveモードなので,アクセス拒否の場合でも,ログに記録されるだけである。ダウンロード自体は問題なく,実行できる。

 ログは,dmesgコマンドで閲覧できる。また,/var/log/messagesにも出力される。例えば,messagesを見てみると,下記のようなアクセス拒否のログが2つほど記録されているはずだ。このログの意味は,「/usr/sbin/vsftpd(ftpd_tドメインで動作)が,ftpという名前のディレクトリ(オブジェクト・クラスdir,タイプvar_t)に読み込み(アクセス・ベクターread)アクセスしようとして拒否された」というものである。

(2) audit2allowコマンドを用いて簡単に追加する

 それではアクセス拒否に基づいて設定を追加していこう。手順は,「audit2allowコマンドを用いてallow文を作成し,設定に追加する」となる。

・ allow文

 「allow文」という設定要素をポリシー・ファイルに記述すれば,ドメインに対してアクセス権限を付与できる。

allow文の書式は,

allow <ドメイン> <タイプ>:<オブジェクト・クラス> <アクセス・ベクター>;

である。

 さきほど拒否されたアクセスを許可するには,allow文の書式のドメイン,タイプ,オブジェクト・クラス,アクセス・ベクターに,ログで出力されたものを当てはめていけばよい。具体的には,

allow ftpd_t var_t:dir read;

となる。

・ audit2allowコマンド

 ただし,アクセス拒否のログに基づいて,手作業でallow文を書いていくのは面倒だ。アクセス拒否のログをallow文に自動変換するコマンド「audit2allow」を使うと,その手間が省ける。

 audit2allowコマンドの使い方は2通りある。一つは,「audit2allow -d」の実行。これにより,dmesgコマンドで出力されるログをallow文に変換できる。もう一つは,「audit2allow -i /var/log/message」の実行である。これにより,/var/log/messagesに出力されているログをallow文に変換できる。ただし,/var/log/messagesをallow文に変換すると,余計なログ(設定したいアプリケーションとは無関係のログ)が読み込まれた結果,余分なallow文が作成されることが多い。そのため,今回は,「audit2allow -d」を使用する。

# audit2allow -d
allow ftpd_t var_t:dir { read };
allow ftpd_t var_t:file { getattr read };
allow lvm_t lvm_etc_t:dir { create };

すると,上記の3つのallow文が作成されるが,vsftpdに対応する設定は上の2行である。これらを設定ファイルに追加する。

 追加方法は,/etc/security/selinux/src/policy/domainsディレクトリ内に,上記の内容を記述した,teという拡張子を持つファイルを作成してもよいし,/etc/security/selinux/src/policy/domains/program/ftpd.te(ftpに関連する設定が格納されているファイル)に追記してもよい。ここでは,ftpd.teファイルの末尾にこの2行を追記したとする。

(3) 設定を反映して,enforcingモードに戻す

 追記が終わったら,新たな設定をシステムに反映させる。それには,ポリシーを格納したディレクトリに移動してから,「make reload」コマンドを実行する。

# cd /etc/security/selinux/src/policy/
# make reload

 このコマンドは,テキスト形式のポリシー・ファイルをバイナリに変換し,カーネルに組み込まれたSELinuxモジュールに読み込ませるものだ。システムに反映させたら,enforcingモードに戻すのを忘れないようにする。

# setenforce 1
# getenforce
enforcing

 もう一度,FTPでアクセスしてみると,今度はtest.txtが閲覧できる。

・audit2allowコマンドの-lオプション

 最後に,audit2allowに用意されている,設定時に便利なコマンド・オプションを紹介する。

 上記のようにして設定作業を行った後,別の設定を追加したい場合,再度「audit2allow -d」を実行すると,前回に追加したallow文まで表示されてしまう。このdオプションに加え,-lオプションを付けて「audit2allow -d -l」と実行すると,「make reload」で設定を反映した後のログだけが読み込まれ,余計な設定が出力されなくなる。設定作業を頻繁に行う場合は,常に「-l」オプションを付けてaudit2allowを実行した方が,作業が楽になる。

 このように,拒否されたアクセスをひたすらaudit2allowコマンドで追加していけば,とりあえずシステム(使いたいサーバー・アプリケーション)を動作させることは可能だ。しかし,この方法だけだと,余計なアクセス権限を与えてしまうことがある。次回(7月27日公開予定)は,SELinuxをより安全に使うための留意点を紹介する。


■著者紹介
中村 雄一(なかむら ゆういち)氏
日立ソフトウェアエンジニアリング 技術開発本部研究部。SELinux関連の研究・開発を行っている。SELinux普及活動に力を入れており,講演・執筆を行うとともに,パッチやインストール・パッケージなどを開発。著書に「SELinux徹底ガイド」(日経BP社)がある。日本SELinuxユーザ会準備委員会代表。日本オープンソース推進機構(JOSAO)SELinux専門委員会委員長。書籍・記事のサポート・ページも開設。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る