SELinux よくある質問 (FAQ)

こんにちは、みんな！ 特にコースの学生にとっては 「Linuxのセキュリティ」 SELinux プロジェクトの公式 FAQ の翻訳を用意しました。 この翻訳は学生だけでなく役立つと思われるので、皆さんにも共有します。

SELinux プロジェクトに関して最もよく寄せられる質問のいくつかに答えてみました。 現在、質問は XNUMX つの主要なカテゴリに分類されています。 すべての質問と回答が記載されています よくある質問ページで.

Обзор

Обзор

1. セキュリティ強化された Linux とは何ですか?
   Security-enhanced Linux (SELinux) は、柔軟で強制的なアクセス制御を実現する Flask セキュリティ アーキテクチャのリファレンス実装です。 これは、柔軟な強制メカニズムの有用性と、そのようなメカニズムをオペレーティング システムに追加する方法を実証するために作成されました。 その後、Flask アーキテクチャは Linux に統合され、Solaris オペレーティング システム、FreeBSD オペレーティング システム、Darwin カーネルなどの他のいくつかのシステムに移植され、幅広い関連作業が生まれました。 Flask アーキテクチャは、タイプ強制、ロールベースのアクセス制御、およびマルチレベル セキュリティの概念に基づくポリシーを含む、さまざまな種類の強制アクセス制御ポリシーを強制するための一般的なサポートを提供します。
2. セキュリティが強化された Linux では、標準の Linux では提供できないものは何でしょうか?
   セキュリティが強化された Linux カーネルは、ユーザー プログラムとシステム サーバーを、ジョブの実行に必要な最小限の権限セットに制限するアクセス制御ポリシーを強制します。 この制限により、(バッファ オーバーフローや構成ミスなどによる) 侵害が発生した場合に、これらのユーザー プログラムやシステム デーモンが害を及ぼす能力が低減または排除されます。 この制限メカニズムは、従来の Linux アクセス制御メカニズムとは独立して機能します。 これには「root」スーパーユーザーの概念がなく、従来の Linux セキュリティ メカニズムのよく知られた欠点 (setuid/setgid バイナリへの依存など) を共有しません。
   変更されていない Linux システムのセキュリティは、カーネル、すべての特権アプリケーション、およびそれらの各構成の正確さに依存します。 これらの領域のいずれかに問題があると、システム全体が危険にさらされる可能性があります。 対照的に、セキュリティが強化された Linux カーネルに基づいて変更されたシステムのセキュリティは、主にカーネルの正確さとそのセキュリティ ポリシーの構成に依存します。 アプリケーションの正確性や構成に問題があると、個々のユーザー プログラムやシステム デーモンが限定的に侵害される可能性がありますが、他のユーザー プログラムやシステム デーモン、またはシステム全体のセキュリティにセキュリティ リスクが生じることはありません。
3. 彼女は何の役に立つのですか？
   Linux の新しいセキュリティ強化機能は、機密性と整合性の要件に基づいて情報を分離するように設計されています。 これらは、プロセスがデータやプログラムを読み取ったり、データやプログラムを改ざんしたり、アプリケーション セキュリティ メカニズムをバイパスしたり、信頼できないプログラムを実行したり、システム セキュリティ ポリシーに違反して他のプロセスを妨害したりすることを防ぐように設計されています。 また、マルウェアやバグのあるプログラムによって引き起こされる可能性のある潜在的な損害を制限するのにも役立ちます。 また、異なるセキュリティ権限を持つユーザーが同じシステムを使用して、セキュリティ要件を損なうことなく、異なるセキュリティ要件を持つ異なる種類の情報にアクセスできるようにするためにも役立ちます。
4. コピーを入手するにはどうすればよいですか?
   多くの Linux ディストリビューションには、デフォルトの機能またはオプションのパッケージとして SELinux のサポートがすでに組み込まれています。 コア SELinux ユーザーランド コードは、次の場所から入手できます。 GitHubの。 エンドユーザーは通常、ディストリビューションによって提供されるパッケージを使用する必要があります。
5. リリースには何が含まれていますか?
   SELinux の NSA リリースには、コア SELinux ユーザーランド コードが含まれています。 SELinux のサポートは、kernel.org から入手できるメインストリーム Linux 2.6 カーネルにすでに組み込まれています。 コア SELinux ユーザーランド コードは、バイナリ ポリシー操作用のライブラリ (libsepol)、ポリシー コンパイラ (checkpolicy)、セキュリティ アプリケーション用のライブラリ (libselinux)、ポリシー管理ツール用のライブラリ (libsemanage)、およびいくつかのポリシー関連ユーティリティ (ポリシーコアユーティリティ)。
   SELinux を使用するには、SELinux 対応カーネルと基本的なユーザーランド コードに加えて、ポリシーと SELinux パッチが適用されたユーザースペース パッケージが必要です。 ポリシーは次から取得できます。 SELinux リファレンス ポリシー プロジェクト.
6. 強化された Linux を既存の Linux システムにインストールできますか?
   はい、SELinux の変更を既存の Linux システムにのみインストールすることも、SELinux サポートがすでに含まれている Linux ディストリビューションをインストールすることもできます。 SELinux は、SELinux をサポートする Linux カーネル、ライブラリとユーティリティのコア セット、いくつかの変更されたユーザー パッケージ、およびポリシー構成で構成されます。 SELinux サポートのない既存の Linux システムにインストールするには、ソフトウェアをコンパイルでき、その他の必要なシステム パッケージも必要です。 Linux ディストリビューションにすでに SELinux のサポートが含まれている場合は、SELinux の NSA リリースをビルドまたはインストールする必要はありません。
7. セキュリティが強化された Linux と無修正の Linux にはどの程度の互換性がありますか?
   セキュリティが強化された Linux は、既存の Linux アプリケーションおよび既存の Linux カーネル モジュールとのバイナリ互換性を提供しますが、一部のカーネル モジュールは SELinux と適切に対話するために変更が必要な場合があります。 これら XNUMX つの互換性カテゴリについては、以下で詳しく説明します。
   • アプリケーションの互換性
     SELinux は、既存のアプリケーションとのバイナリ互換性を提供します。 新しいセキュリティ属性を含むようにカーネル データ構造を拡張し、セキュリティ アプリケーション用の新しい API 呼び出しを追加しました。 ただし、アプリケーションから見えるデータ構造は一切変更しておらず、既存のシステム コールのインターフェイスも変更していないため、セキュリティ ポリシーで許可されている限り、既存のアプリケーションは引き続き実行できます。
   • カーネルモジュールの互換性
     当初、SELinux は既存のカーネル モジュールに対して初期互換性のみを提供していました。 カーネル データ構造に追加された新しいセキュリティ フィールドを取得するには、カーネル ヘッダーを変更してそのようなモジュールを再コンパイルする必要がありました。 LSM と SELinux は主流の Linux 2.6 カーネルに統合されているため、SELinux は既存のカーネル モジュールとのバイナリ互換性を提供します。 ただし、一部のカーネル モジュールは、変更を加えないと SELinux と適切に連携できない場合があります。 たとえば、カーネル モジュールが通常の初期化関数を使用せずにカーネル オブジェクトを直接割り当ててセットアップする場合、カーネル オブジェクトは適切なセキュリティ情報を持たない可能性があります。 一部のカーネル モジュールには、その動作に対する適切なセキュリティ制御が欠けている場合もあります。 カーネル関数または権限関数への既存の呼び出しも SELinux 権限チェックをトリガーしますが、MAC ポリシーを適用するには、より詳細な制御または追加の制御が必要になる場合があります。
     必要なすべての操作がセキュリティ ポリシー構成で許可されている場合、セキュリティが強化された Linux では、通常の Linux システムとの相互運用性の問題が発生することはありません。
8. セキュリティ ポリシー構成例の目的は何ですか?
   大まかに言えば、強制的なアクセス制御の柔軟性とセキュリティを実証し、アプリケーションの変更を最小限に抑えたシンプルな動作システムを提供することが目標です。 下位レベルでは、ポリシーには一連の目標があり、これについてはポリシーのドキュメントに記載されています。 これらの目標には、生データへのアクセスの制御、カーネル、システム ソフトウェア、システム構成情報およびシステム ログの整合性の保護、特権を必要とするプロセスの脆弱性の悪用によって引き起こされる可能性のある潜在的な損害の制限、悪意のあるプロセスの実行からの特権プロセスの保護などが含まれます。コードを使用して、ユーザー認証なしで管理者ロールとドメインがログインできないように保護し、通常のユーザー プロセスがシステムまたは管理プロセスに干渉するのを防ぎ、悪意のあるモバイル コードによるブラウザの脆弱性悪用からユーザーと管理者を保護します。
9. Linux がベース プラットフォームとして選ばれたのはなぜですか?
   Linux は、その成功の拡大とオープンな開発環境のため、この作業の最初のリファレンス実装のプラットフォームとして選択されました。 Linux は、この機能がホスト オペレーティング システム上で成功し、同時に広く使用されているシステムのセキュリティに貢献できることを実証する絶好の機会となります。 Linux プラットフォームは、この研究が可能な限り幅広い視野を得る絶好の機会でもあり、おそらく他の愛好家による追加のセキュリティ研究の基礎としても機能します。
10. なぜこの仕事をしたのですか？
    国立情報セキュリティ研究所 国家安全保障局は、NSA が米国の国家安全保障上の利益にとって重要な情報インフラストラクチャに情報セキュリティ ソリューション、製品、サービスを提供できるようにするための研究と高度な技術開発を担当しています。
    実行可能な安全なオペレーティング システムを作成することは、依然として大きな研究課題です。 私たちの目標は、セキュリティに必要なサポートを提供し、ユーザーに対してほぼ透過的な方法でプログラムを実行し、ベンダーにとって魅力的な効率的なアーキテクチャを作成することです。 この目標を達成するための重要なステップは、強制アクセス制御メカニズムをメインのオペレーティング システムにどのように統合できるかを実証することであると私たちは考えています。
11. これは以前の OS NSA の調査とどのように関連していますか?
    NSA 国家保証研究所の研究者は、セキュア コンピューティング コーポレーション (SCC) と提携して、LOCK システムによって先駆けられたメカニズムであるタイプ施行に基づく強力で柔軟な施行アーキテクチャを開発しました。 NSA と SCC は、Mach に基づく XNUMX つのプロトタイプ アーキテクチャ、DTMach と DTOS (http://www.cs.utah.edu/flux/dtos/）。 その後、NSA と SCC はユタ大学の Flux Research Group と協力して、アーキテクチャを Fluke Research オペレーティング システムに移植しました。 この移行中に、動的なセキュリティ ポリシーのサポートを強化するためにアーキテクチャが改良されました。 この改良されたアーキテクチャは Flask (http://www.cs.utah.edu/flux/flask/）。 現在、NSA は Flask アーキテクチャを Linux オペレーティング システムに統合し、このテクノロジーをより広範な開発者およびユーザー コミュニティに提供しています。
12. セキュリティが強化された Linux は信頼できるオペレーティング システムですか?
    「信頼できるオペレーティング システム」という語句は、一般に、政府の特定の要件を満たすために、階層化されたセキュリティと検証に対する十分なサポートを提供するオペレーティング システムを指します。 セキュリティが強化された Linux には、これらのシステムからの有益な洞察が組み込まれていますが、強制的なアクセス制御に重点が置かれています。 セキュリティが強化された Linux を開発する本来の目的は、このテクノロジを実証するために、現実世界のさまざまな環境で目に見えるセキュリティ上の利点を提供する便利な機能を作成することでした。 SELinux 自体は信頼できるオペレーティング システムではありませんが、信頼できるオペレーティング システムに必要な重要なセキュリティ機能である強制アクセス制御を提供します。 SELinux は、Labeled Security Protection Profile に従って評価された Linux ディストリビューションに統合されています。 テスト済みおよびテスト済みの製品に関する情報は、次のサイトでご覧いただけます。 http://niap-ccevs.org/.
13. 彼女は本当に守られているのでしょうか？
    安全なシステムの概念には多くの属性 (物理的なセキュリティ、人的セキュリティなど) が含まれていますが、セキュリティが強化された Linux は、これらの属性の非常に狭いセット (つまり、オペレーティング システムの強制制御) のみに対応します。 言い換えれば、「安全なシステム」とは、現実世界の一部の情報を、情報の所有者および/またはユーザーが警告される実際の敵から保護するのに十分な安全性を意味します。 セキュリティが強化された Linux は、Linux のような最新のオペレーティング システムに必要なコントロールを紹介することだけを目的としているため、それ自体が安全なシステムの興味深い定義に適合する可能性は低いです。 セキュリティが強化された Linux で実証された技術は、セキュアなシステムを構築する人々にとって役立つと信じています。
14. 保証を改善するために何をしましたか?
    このプロジェクトの目標は、Linux に最小限の変更を加えて強制アクセス制御を追加することでした。 この最後の目標は、保証を改善するためにできることを大幅に制限するため、Linux の保証を改善する取り組みは行われていません。 一方、この改良点は、高セキュリティのセキュリティ アーキテクチャの設計に関する以前の作業に基づいて構築されており、これらの設計原則のほとんどは Security-enhanced Linux に引き継がれています。
15. CCEVS はセキュリティが強化された Linux を評価しますか?
    セキュリティが強化された Linux 自体は、セキュリティ プロファイルで表されるセキュリティ問題の完全なセットに対処するように設計されているわけではありません。 現在の機能のみを評価することも可能ですが、そのような評価の価値は限られていると考えられます。 ただし、私たちは他の企業と協力して、評価済みの Linux ディストリビューションおよび評価中の Linux ディストリビューションにこのテクノロジを組み込むことに取り組んできました。 テスト済みおよびテスト済みの製品に関する情報は、次のサイトでご覧いただけます。 http://niap-ccevs.org/.
16. 脆弱性を修正しようとしましたか?
    いいえ、私たちは作業中に脆弱性を探したり発見したりしませんでした。 私たちは、新しいギアを追加するのに必要な最低限のものだけを提供しました。
17. このシステムは政府による使用が承認されていますか?
    セキュリティが強化された Linux には、他のバージョンの Linux に対して政府による使用に対する特別または追加の承認はありません。セキュリティが強化された Linux には、他のバージョンの Linux に比べて政府による使用に対する特別または追加の承認がありません。
18. これは他の取り組みとどう違うのでしょうか？
    セキュリティが強化された Linux には、いくつかのプロトタイプ システム (DTMach、DTOS、Flask) で実験的にテストされた、柔軟な強制アクセス制御のための明確に定義されたアーキテクチャがあります。 幅広いセキュリティ ポリシーをサポートするアーキテクチャの能力について詳細な研究が行われており、以下で利用可能です。 http://www.cs.utah.edu/flux/dtos/ и http://www.cs.utah.edu/flux/flask/.
    このアーキテクチャは、他のシステムでは制御されない多くのカーネル抽象化とサービスに対するきめ細かい制御を提供します。 拡張セキュリティを備えた Linux システムの際立った特性のいくつかは次のとおりです。
    • ポリシーと執行権の純粋な分離
    • 明確に定義されたポリシーインターフェイス
    • 特定のポリシーやポリシー言語からの独立
    • セキュリティラベルの特定の形式や内容からの独立
    • カーネルオブジェクトとサービスの個別のラベルとコントロール
    • アクセス決定のキャッシュによる効率化
    • ポリシー変更のサポート
    • プロセスの初期化と継承、およびプログラム実行の制御
    • ファイルシステム、ディレクトリ、ファイル、開いているファイルの説明の管理
    • ソケット、メッセージ、ネットワークインターフェースの管理
    • 「機会」の使用の制御
19. このシステムのライセンス制限は何ですか?
    サイト上にあるすべてのソースコード https://www.nsa.gov、元のソース コードと同じ条件で配布されます。 たとえば、Linux カーネルの修正プログラムや、ここで入手できる既存のユーティリティの多くの修正プログラムは、次の条件に基づいてリリースされます。 GNU General Public License（GPL）.
20. 輸出規制はありますか?
    Linux には、他のバージョンの Linux と比べてセキュリティが強化された追加の輸出規制はありません。
21. NSAは国内でそれを使用するつもりですか?
    明らかな理由から、NSA は運用上の使用についてコメントしていません。
22. Secure Computing Corporation からの 26 年 2002 月 XNUMX 日の保証声明は、SELinux が GNU General Public License に基づいて利用可能になったという NSA の立場を変更しますか?
    NSAの立場は変わっていない。 NSA は、SELinux の使用、コピー、配布、変更には GNU 一般公衆利用許諾契約書の条項が適用されると依然として信じています。 Cm。 NSA プレスリリース 2 年 2001 月 XNUMX 日.
23. NSA はオープンソース ソフトウェアをサポートしていますか?
    NSA のソフトウェア セキュリティへの取り組みはプロプライエタリ ソフトウェアとオープン ソース ソフトウェアの両方に及び、私たちは研究活動においてプロプライエタリ モデルとオープン ソース モデルの両方をうまく使用してきました。 NSA のソフトウェア セキュリティを向上させる取り組みは、XNUMX つの単純な考慮事項によって動機付けられています。それは、NSA の顧客に最も広く使用されている製品に可能な限り最高のセキュリティ オプションを提供するためにリソースを最大限に活用することです。 NSA の研究プログラムの目標は、さまざまな転送メカニズムを通じてソフトウェア開発コミュニティと共有できる技術的進歩を開発することです。 NSA は、特定のソフトウェア製品やビジネス モデルを推奨または推進するものではありません。 むしろ、NSA は安全保障を推進しています。
24. NSA は Linux をサポートしていますか?
    上で述べたように、NSA は特定のソフトウェア製品やプラットフォームを推奨したり宣伝したりするものではありません。 NSA はセキュリティの向上にのみ貢献します。 SELinux リファレンス実装で実証された Flask アーキテクチャは、Solaris、FreeBSD、Darwin などの他のいくつかのオペレーティング システムに移植され、Xen ハイパーバイザーに移植され、X Window System、GConf、D-BUS、PostgreSQL などのアプリケーションに適用されています。 。 Flask アーキテクチャの概念は、幅広いシステムや環境に広く適用できます。

協力

1. Linux コミュニティとどのように交流する予定ですか?
   我々は持っている NSA.gov の Web ページのセット、セキュリティが強化された Linux 情報を公開する主な方法として機能します。 セキュリティが強化された Linux に興味がある場合は、開発者メーリング リストに参加し、ソース コードを表示し、フィードバック (またはコード) を提供することをお勧めします。 開発者メーリング リストに参加するには、次を参照してください。 SELinux 開発者メーリング リスト ページ.
2. 誰が助けてくれるでしょうか？
   SELinux は現在、オープンソース Linux ソフトウェア コミュニティによって維持および改善されています。
3. NSAは追跡調査に資金を提供していますか?
   NSAは現在、さらなる取り組みの提案を検討していない。
4. どのような種類のサポートが利用可能ですか?
   メーリングリストを通じて問題を解決するつもりです [メール保護], ただし、特定のサイトに関するすべての質問にはお答えできません。
5. 誰が助けてくれたの？ 彼らは何をしたのでしょうか？
   セキュリティが強化された Linux プロトタイプは、NSA が NAI Labs、Secure Computing Corporation (SCC)、および MITRE Corporation の研究パートナーと協力して開発しました。 最初の公開リリースの後、さらに多くの資料が続きました。 参加者リストを見る.
6. 詳細はどうすればわかりますか?
   ぜひ当社の Web ページにアクセスし、ドキュメントや過去の研究論文を読み、メーリング リストに参加することをお勧めします。 [メール保護]

翻訳は役に立ちましたか? コメントを書いてください！

出所： habr.com