SlideShare a Scribd company logo

使いこなせて安全なLinuxを目指して

Download as PPT, PDF
Toshiharu Harada, Ph.D
Toshiharu Harada, Ph.D

Linux Conference 2005

TechnologyNews & Politics
1 of 40
使いこなせて安全なLinuxを目指して [ 当日説明用資料 ] 平成 17 年 6 月 2 日 株式会社NTTデータ オープンソース開発センタ 技術開発担当 原田季栄 [email_address]
「安全な Linux 」を目指す理由 ,[object Object],[object Object],[object Object]
「安全」ということ ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
「使いこなせる」について ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
SELinux という選択肢 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
通常の Linux の場合 ,[object Object],[object Object],[object Object],/bin/bash /usr/bin/passwd /usr/bin/passwd fork() execve() /etc/shadow /bin/ping /bin/ping execve() uid: harada euid: harada owner: root group: root -r-s--x--x uid: harada euid: root user: root group: root -r-------- uid: nobody euid: root owner: root group: root -r-s--x--x
SELinux の場合 (TE) アクセス可能なラベル ドメイン ファイルなど ラベル アクセス アクセス可能なラベル ドメイン アクセス可能なラベル ドメイン ファイルなど ラベル ラベルは1個の資源に1個だけ プロセスはいずれかのドメインに所属する 「ドメイン」=プロセスに付与された「タイプ」 「ラベル」=プロセス以外に付与された「タイプ」
SELinux の場合 (RBAC) ユーザ ロール ロール ロール ドメイン ドメイン ドメイン ドメイン ドメイン ドメイン ロール ロール ロール ロール ユーザ 割り当てられたロールの範囲内で複数のドメイン間を切り替えできる。 ユーザに割り当てられた範囲内で複数のロール間を切り替えできる。 SELinux には、 TE だけでなく、 RBAC (Role-Based Access Control) も実装されています。
SELinux の場合(概念) ,[object Object],[object Object],[object Object],[object Object],[object Object]
SELinux におけるドメインの考え方 ドメインは階層構造を持たずにフラット。 プログラムの実行をトリガーとして他のドメインに遷移する。 ドメインは、ユーザ定義。 execve() kernel_t init_t initrc_t sshd_t user_t httpd_t sysadm_t sysadm_t staff_t
SELinux の場合(構文) allow passwd_t shadow_t : file { read write … }; 「主体」 となるプロセスのタイプ 「客体」 となるオブジェクトのタイプ 「客体」 となるオブジェクトの種類(オブジェクトクラス) 許可するアクセスの内容(オブジェクトクラスごとに指定できる内容が異なる) タイプについて、あらかじめ正しく割り当てられていることが前提となります。(タイプの定義自体もポリシーの一部)
SELinux の場合(ポリシー例) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
SELinux は使いこなせるか? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
SELinux 運用の理想と現実 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
SELinux のまとめ ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
TOMOYO Linux への道のり
TOMOYO Linux への道のり(1) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
TOMOYO Linux への道のり(2) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
TOMOYO Linux への道のり(3) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
TOMOYO Linux の概念 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
TOMOYO Linux の場合 アクセス可能なパス名 ドメイン ファイルのパス名をラベルとして使用 プロセスはいずれかのドメインに所属する ドメイン ドメイン ドメイン アクセス可能なパス名 アクセス可能なパス名 アクセス可能なパス名 ファイルなど パス名 ファイルなど パス名 ファイルなど パス名 ドメインの包含関係とアクセス可能な資源の範囲とは無関係
TOMOYO Linux におけるドメイン <kernel> (カーネルのドメイン) <kernel> /sbin/init (カーネルから起動された init のドメイン) <kernel> /sbin/init /etc/rc.d/rc (カーネルから起動されたinitから起動された rc のドメイン) <kernel> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/httpd (カーネルから起動されたinitから起動された rc から起動された httpd のドメイン) <kernel> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/sshd (カーネルから起動されたinitから起動された rc から起動された sshd のドメイン) <kernel> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/httpd /sbin/initlog (カーネルから起動されたinitから起動された rc から起動された httpd から起動された initlog のドメイン) <kernel> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/sshd /sbin/initlog (カーネルから起動されたinitから起動された rc から起動された sshd から起動された initlog のドメイン) プログラムの実行をトリガーとして自動的にドメインを定義して遷移。
TOMOYO Linux におけるドメイン プロセスの実行履歴毎に独立なドメインを自動的に定義。 全てのプロセスを一意に特定することができる。 /sbin/init /sbin/initlog /sbin/initlog ・・・ “ <kernle> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/sshd /sbin/initlog” というドメイン <kernel> /bin/mount ・・・ /etc/rc.d/rc.sysinit /usr/sbin/sshd /usr/sbin/httpd /bin/tcsh /sbin/modprobe /var/www/cgi-bin/cookie1 /etc/rc.d/init.d/httpd /etc/rc.d/init.d/sshd /etc/rc.d/rc /bin/date /usr/bin/passwd /bin/bash
TOMOYO Linux の場合(ポリシー例) ,[object Object],[object Object],[object Object],[object Object],「主体」 となるプロセスのドメイン->プロセス実行履歴毎 「客体」 となる オブジェクトのパス名 認めるアクセス許可内容 読み込み:  4 書き込み:  2 実行:  1 ドメインの包含関係より このドメインに遷移できるのは “ <kernel> /usr/sbin/sshd /bin/bash” だけ。他のドメインからこのドメインに 遷移してしまう心配は無用。
TOMOYO Linux の場合(ポリシー例) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],<kernel> /usr/sbin/sshd /bin/bash 1 /usr/bin/passwd <kernel> /usr/sbin/sshd /bin/bash /usr/bin/passwd 6 /etc/shadow を「 SELinux 風」に記述したとすると・・・(ファイルコンテキスト定義は除く) 前ページの TOMOYO Linux のポリシー
TOMOYO Linux のポリシー構成 ※ それぞれのポリシーファイルの意味と詳細については、論文を参照ください。 syaoran.conf noumount.txt mount.txt chroot.txt allow_read.txt initializer.txt authorized.txt cap_policy.txt allow_bind.txt policy.txt ファイル名 作成を許可するデバイスファイルに関する情報 アンマウント許可情報 改ざん防止機能用 マウント許可情報 システム全体 chroot による移動を認めるディレクトリ 共有ライブラリ等 全てのドメインから読めるファイル一覧 「ドメイン遷移例外」 「信頼済み」ドメイン ネットワークを含む ケイパビリティ ドメイン毎 bind を認めるポート 次ページで例を紹介 ファイルに対するアクセス許可 説明 作成単位 ポリシー定義ファイル種別
TOMOYO Linux のポリシー記述例 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],ポリシー本体 意 味
「信頼済みドメイン」について ,[object Object],[object Object],[object Object],[object Object],[object Object]
「ドメイン遷移例外」について ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
デバイスファイルの保護について ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
「応用」と「デモ」 ,[object Object]
TOMOYO Linux の「応用」について ,[object Object],[object Object],[object Object],[object Object],[object Object]
応用1: TOMOYO Linux によるなりすまし対策 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
応用2: TOMOYO Linux による RBAC ,[object Object],[object Object],[object Object],[object Object],[object Object]
デモ:なりすまし対策 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
デモ:なりすまし対策 追加認証1 追加認証2 ログイン認証 (標準搭載)
デモ: RBAC ,[object Object],[object Object],[object Object],[object Object],[object Object]
デモ: RBAC スタッフの部屋 セキュリティ管理者の部屋 サーバ管理者の部屋 (城門) Web サーバの再起動 メールのチェック emacs の起動 セキュリティポリシー違反のチェック
開発者が考える TOMOYO Linux ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
おわりに ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Recommended

hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版Hiroki Ishikawa
 
OpenStack & SELinux
OpenStack & SELinuxOpenStack & SELinux
OpenStack & SELinuxHiroki Ishikawa
 
Sesearch
SesearchSesearch
SesearchHiroki Ishikawa
 
CaitSith 新しいルールベースのカーネル内アクセス制御
CaitSith 新しいルールベースのカーネル内アクセス制御CaitSith 新しいルールベースのカーネル内アクセス制御
CaitSith 新しいルールベースのカーネル内アクセス制御Toshiharu Harada, Ph.D
 
SELinuxによる攻撃防止の例
SELinuxによる攻撃防止の例SELinuxによる攻撃防止の例
SELinuxによる攻撃防止の例Hiroki Ishikawa
 
OpenStack(RDO/Grizzly) ダッシュボード利用演習
OpenStack(RDO/Grizzly) ダッシュボード利用演習OpenStack(RDO/Grizzly) ダッシュボード利用演習
OpenStack(RDO/Grizzly) ダッシュボード利用演習Etsuji Nakai
 
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみたNessusをちょっと深堀してみた
Nessusをちょっと深堀してみたKazumasa Sasazawa
 
そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?Atsushi Mitsu
 

Recommended

hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版Hiroki Ishikawa
 
OpenStack & SELinux
OpenStack & SELinuxOpenStack & SELinux
OpenStack & SELinuxHiroki Ishikawa
 
Sesearch
SesearchSesearch
SesearchHiroki Ishikawa
 
CaitSith 新しいルールベースのカーネル内アクセス制御
CaitSith 新しいルールベースのカーネル内アクセス制御CaitSith 新しいルールベースのカーネル内アクセス制御
CaitSith 新しいルールベースのカーネル内アクセス制御Toshiharu Harada, Ph.D
 
SELinuxによる攻撃防止の例
SELinuxによる攻撃防止の例SELinuxによる攻撃防止の例
SELinuxによる攻撃防止の例Hiroki Ishikawa
 
OpenStack(RDO/Grizzly) ダッシュボード利用演習
OpenStack(RDO/Grizzly) ダッシュボード利用演習OpenStack(RDO/Grizzly) ダッシュボード利用演習
OpenStack(RDO/Grizzly) ダッシュボード利用演習Etsuji Nakai
 
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみたNessusをちょっと深堀してみた
Nessusをちょっと深堀してみたKazumasa Sasazawa
 
そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?Atsushi Mitsu
 
20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」
20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」
20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」Toshiharu Harada, Ph.D
 
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」Toshiharu Harada, Ph.D
 
知らないと地味にハマるOpen stackインストール時の注意点
知らないと地味にハマるOpen stackインストール時の注意点知らないと地味にハマるOpen stackインストール時の注意点
知らないと地味にハマるOpen stackインストール時の注意点d-shen
 
rsyslog + SE-PostgreSQL = ???
rsyslog + SE-PostgreSQL = ???rsyslog + SE-PostgreSQL = ???
rsyslog + SE-PostgreSQL = ???Hiroki Ishikawa
 
IaaSクラウドを支える基礎技術 v1_0
IaaSクラウドを支える基礎技術 v1_0IaaSクラウドを支える基礎技術 v1_0
IaaSクラウドを支える基礎技術 v1_0Etsuji Nakai
 
IaaSクラウドを支える基礎技術 演習編_v1_0
IaaSクラウドを支える基礎技術 演習編_v1_0IaaSクラウドを支える基礎技術 演習編_v1_0
IaaSクラウドを支える基礎技術 演習編_v1_0Etsuji Nakai
 
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...Insight Technology, Inc.
 
Kernel overview
Kernel overviewKernel overview
Kernel overviewKai Sasaki
 
RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料
RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料
RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料VirtualTech Japan Inc.
 
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二CODE BLUE
 
OpenStack構築手順書Mitaka版 (期間限定公開)
OpenStack構築手順書Mitaka版 (期間限定公開)OpenStack構築手順書Mitaka版 (期間限定公開)
OpenStack構築手順書Mitaka版 (期間限定公開)VirtualTech Japan Inc.
 
OpenStackで始めるクラウド環境構築入門
OpenStackで始めるクラウド環境構築入門OpenStackで始めるクラウド環境構築入門
OpenStackで始めるクラウド環境構築入門VirtualTech Japan Inc.
 
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門Etsuji Nakai
 
Intel Trusted Computing Group 1st Workshop
Intel Trusted Computing Group 1st WorkshopIntel Trusted Computing Group 1st Workshop
Intel Trusted Computing Group 1st WorkshopRuo Ando
 
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)VirtualTech Japan Inc.
 
Linux Security
Linux SecurityLinux Security
Linux Securitysounakano
 
OpenStack Grizzly構築手順書
OpenStack Grizzly構築手順書OpenStack Grizzly構築手順書
OpenStack Grizzly構築手順書VirtualTech Japan Inc.
 
Security workshop 20131213
Security workshop 20131213Security workshop 20131213
Security workshop 20131213Yuuki Takano
 
TOMOYO Linuxへの道
TOMOYO Linuxへの道TOMOYO Linuxへの道
TOMOYO Linuxへの道Toshiharu Harada, Ph.D
 
Arch TCP/IP Other Application
Arch TCP/IP Other ApplicationArch TCP/IP Other Application
Arch TCP/IP Other ApplicationMasahiko Hara
 
Reverseengineering koukai
Reverseengineering koukaiReverseengineering koukai
Reverseengineering koukaiSaya Katafuchi
 
Ivancev 2
Ivancev 2Ivancev 2
Ivancev 2Salutaria
 

More Related Content

What's hot

20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」
20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」
20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」Toshiharu Harada, Ph.D
 
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」Toshiharu Harada, Ph.D
 
知らないと地味にハマるOpen stackインストール時の注意点
知らないと地味にハマるOpen stackインストール時の注意点知らないと地味にハマるOpen stackインストール時の注意点
知らないと地味にハマるOpen stackインストール時の注意点d-shen
 
rsyslog + SE-PostgreSQL = ???
rsyslog + SE-PostgreSQL = ???rsyslog + SE-PostgreSQL = ???
rsyslog + SE-PostgreSQL = ???Hiroki Ishikawa
 
IaaSクラウドを支える基礎技術 v1_0
IaaSクラウドを支える基礎技術 v1_0IaaSクラウドを支える基礎技術 v1_0
IaaSクラウドを支える基礎技術 v1_0Etsuji Nakai
 
IaaSクラウドを支える基礎技術 演習編_v1_0
IaaSクラウドを支える基礎技術 演習編_v1_0IaaSクラウドを支える基礎技術 演習編_v1_0
IaaSクラウドを支える基礎技術 演習編_v1_0Etsuji Nakai
 
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...Insight Technology, Inc.
 
Kernel overview
Kernel overviewKernel overview
Kernel overviewKai Sasaki
 
RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料
RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料
RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料VirtualTech Japan Inc.
 
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二CODE BLUE
 
OpenStack構築手順書Mitaka版 (期間限定公開)
OpenStack構築手順書Mitaka版 (期間限定公開)OpenStack構築手順書Mitaka版 (期間限定公開)
OpenStack構築手順書Mitaka版 (期間限定公開)VirtualTech Japan Inc.
 
OpenStackで始めるクラウド環境構築入門
OpenStackで始めるクラウド環境構築入門OpenStackで始めるクラウド環境構築入門
OpenStackで始めるクラウド環境構築入門VirtualTech Japan Inc.
 
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門Etsuji Nakai
 
Intel Trusted Computing Group 1st Workshop
Intel Trusted Computing Group 1st WorkshopIntel Trusted Computing Group 1st Workshop
Intel Trusted Computing Group 1st WorkshopRuo Ando
 
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)VirtualTech Japan Inc.
 
Linux Security
Linux SecurityLinux Security
Linux Securitysounakano
 
Security workshop 20131213
Security workshop 20131213Security workshop 20131213
Security workshop 20131213Yuuki Takano
 

What's hot (18)

20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」
20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」
20031030 「読み込み専用マウントによる改ざん防止Linuxサーバの構築」
 
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」
 
知らないと地味にハマるOpen stackインストール時の注意点
知らないと地味にハマるOpen stackインストール時の注意点知らないと地味にハマるOpen stackインストール時の注意点
知らないと地味にハマるOpen stackインストール時の注意点
 
rsyslog + SE-PostgreSQL = ???
rsyslog + SE-PostgreSQL = ???rsyslog + SE-PostgreSQL = ???
rsyslog + SE-PostgreSQL = ???
 
IaaSクラウドを支える基礎技術 v1_0
IaaSクラウドを支える基礎技術 v1_0IaaSクラウドを支える基礎技術 v1_0
IaaSクラウドを支える基礎技術 v1_0
 
IaaSクラウドを支える基礎技術 演習編_v1_0
IaaSクラウドを支える基礎技術 演習編_v1_0IaaSクラウドを支える基礎技術 演習編_v1_0
IaaSクラウドを支える基礎技術 演習編_v1_0
 
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
 
Kernel overview
Kernel overviewKernel overview
Kernel overview
 
RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料
RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料
RDOを使ったOpenStack Havana - Neutron 構築編 :補足資料
 
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
 
OpenStack構築手順書Mitaka版 (期間限定公開)
OpenStack構築手順書Mitaka版 (期間限定公開)OpenStack構築手順書Mitaka版 (期間限定公開)
OpenStack構築手順書Mitaka版 (期間限定公開)
 
OpenStackで始めるクラウド環境構築入門
OpenStackで始めるクラウド環境構築入門OpenStackで始めるクラウド環境構築入門
OpenStackで始めるクラウド環境構築入門
 
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack入門
 
Intel Trusted Computing Group 1st Workshop
Intel Trusted Computing Group 1st WorkshopIntel Trusted Computing Group 1st Workshop
Intel Trusted Computing Group 1st Workshop
 
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
 
Linux Security
Linux SecurityLinux Security
Linux Security
 
OpenStack Grizzly構築手順書
OpenStack Grizzly構築手順書OpenStack Grizzly構築手順書
OpenStack Grizzly構築手順書
 
Security workshop 20131213
Security workshop 20131213Security workshop 20131213
Security workshop 20131213
 

Viewers also liked

Arch TCP/IP Other Application
Arch TCP/IP Other ApplicationArch TCP/IP Other Application
Arch TCP/IP Other ApplicationMasahiko Hara
 
Reverseengineering koukai
Reverseengineering koukaiReverseengineering koukai
Reverseengineering koukaiSaya Katafuchi
 
Don't need docker
Don't need dockerDon't need docker
Don't need dockerGo Yamada
 
Arch linuxを試したお話
Arch linuxを試したお話Arch linuxを試したお話
Arch linuxを試したお話Yuta Takahashi
 
EC2とLinuxディストロ事情
EC2とLinuxディストロ事情EC2とLinuxディストロ事情
EC2とLinuxディストロ事情Emma Haruka Iwao
 
ほんとはこわくない Gentoo Linux
ほんとはこわくない Gentoo Linuxほんとはこわくない Gentoo Linux
ほんとはこわくない Gentoo Linuxgion_XY
 

Viewers also liked (8)

TOMOYO Linuxへの道
TOMOYO Linuxへの道TOMOYO Linuxへの道
TOMOYO Linuxへの道
 
Arch TCP/IP Other Application
Arch TCP/IP Other ApplicationArch TCP/IP Other Application
Arch TCP/IP Other Application
 
Reverseengineering koukai
Reverseengineering koukaiReverseengineering koukai
Reverseengineering koukai
 
Ivancev 2
Ivancev 2Ivancev 2
Ivancev 2
 
Don't need docker
Don't need dockerDon't need docker
Don't need docker
 
Arch linuxを試したお話
Arch linuxを試したお話Arch linuxを試したお話
Arch linuxを試したお話
 
EC2とLinuxディストロ事情
EC2とLinuxディストロ事情EC2とLinuxディストロ事情
EC2とLinuxディストロ事情
 
ほんとはこわくない Gentoo Linux
ほんとはこわくない Gentoo Linuxほんとはこわくない Gentoo Linux
ほんとはこわくない Gentoo Linux
 

Similar to 使いこなせて安全なLinuxを目指して

090916 X D E V今だから理解する[
090916 X D E V今だから理解する[090916 X D E V今だから理解する[
090916 X D E V今だから理解する[Masami Suzuki
 
Dockerを支える技術
Dockerを支える技術Dockerを支える技術
Dockerを支える技術Etsuji Nakai
 
Osc201703 tokyo-clonezilla-v1.2 j
Osc201703 tokyo-clonezilla-v1.2 jOsc201703 tokyo-clonezilla-v1.2 j
Osc201703 tokyo-clonezilla-v1.2 jAkira Yoshiyama
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Yurika Kakiuchi
 
whats-new-in-elastic-7-14
whats-new-in-elastic-7-14whats-new-in-elastic-7-14
whats-new-in-elastic-7-14Shotaro Suzuki
 
AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)Akio Katayama
 
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-public20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-publicAmazon Web Services Japan
 
被遮蔽的歷史
被遮蔽的歷史被遮蔽的歷史
被遮蔽的歷史kepomalaysia
 
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座Toshiharu Harada, Ph.D
 
Wsfc basic 130720
Wsfc basic 130720Wsfc basic 130720
Wsfc basic 130720wintechq
 
RoR周辺知識15項目
RoR周辺知識15項目RoR周辺知識15項目
RoR周辺知識15項目saiwaki
 
2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!
2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!
2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!Midori Oge
 
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119wintechq
 

Similar to 使いこなせて安全なLinuxを目指して (20)

Cms on SELinux
Cms on SELinuxCms on SELinux
Cms on SELinux
 
090916 X D E V今だから理解する[
090916 X D E V今だから理解する[090916 X D E V今だから理解する[
090916 X D E V今だから理解する[
 
BBBBB
BBBBBBBBBB
BBBBB
 
1MB
1MB1MB
1MB
 
Dockerを支える技術
Dockerを支える技術Dockerを支える技術
Dockerを支える技術
 
Osc201703 tokyo-clonezilla-v1.2 j
Osc201703 tokyo-clonezilla-v1.2 jOsc201703 tokyo-clonezilla-v1.2 j
Osc201703 tokyo-clonezilla-v1.2 j
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
 
whats-new-in-elastic-7-14
whats-new-in-elastic-7-14whats-new-in-elastic-7-14
whats-new-in-elastic-7-14
 
LSMの壁
LSMの壁LSMの壁
LSMの壁
 
20170124 linux basic_1
20170124 linux basic_120170124 linux basic_1
20170124 linux basic_1
 
AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)
 
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-public20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
 
被遮蔽的歷史
被遮蔽的歷史被遮蔽的歷史
被遮蔽的歷史
 
141030ceph
141030ceph141030ceph
141030ceph
 
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
 
Wsfc basic 130720
Wsfc basic 130720Wsfc basic 130720
Wsfc basic 130720
 
RoR周辺知識15項目
RoR周辺知識15項目RoR周辺知識15項目
RoR周辺知識15項目
 
2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!
2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!
2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!
 
AndroidとSELinux
AndroidとSELinuxAndroidとSELinux
AndroidとSELinux
 
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
 

More from Toshiharu Harada, Ph.D

Job's 2005 Stanford Speech Translation Kit
Job's 2005 Stanford Speech Translation KitJob's 2005 Stanford Speech Translation Kit
Job's 2005 Stanford Speech Translation KitToshiharu Harada, Ph.D
 
’You’ve got to find what you love,’ Jobs says
’You’ve got to find what you love,’ Jobs says’You’ve got to find what you love,’ Jobs says
’You’ve got to find what you love,’ Jobs saysToshiharu Harada, Ph.D
 
The role of "pathname based access control" in security"
The role of "pathname based access control" in security"The role of "pathname based access control" in security"
The role of "pathname based access control" in security"Toshiharu Harada, Ph.D
 
振る舞いに基づくSSHブルートフォースアタック対策
振る舞いに基づくSSHブルートフォースアタック対策振る舞いに基づくSSHブルートフォースアタック対策
振る舞いに基づくSSHブルートフォースアタック対策Toshiharu Harada, Ph.D
 
僕より少し遅く生まれてきた君たちへ
僕より少し遅く生まれてきた君たちへ僕より少し遅く生まれてきた君たちへ
僕より少し遅く生まれてきた君たちへToshiharu Harada, Ph.D
 
Chained Enforceable Re-authentication Barrier Ensures Really Unbreakable Secu...
Chained Enforceable Re-authentication Barrier Ensures Really Unbreakable Secu...Chained Enforceable Re-authentication Barrier Ensures Really Unbreakable Secu...
Chained Enforceable Re-authentication Barrier Ensures Really Unbreakable Secu...Toshiharu Harada, Ph.D
 
プロセス実行履歴に基づくアクセスポリシー自動生成システム
プロセス実行履歴に基づくアクセスポリシー自動生成システムプロセス実行履歴に基づくアクセスポリシー自動生成システム
プロセス実行履歴に基づくアクセスポリシー自動生成システムToshiharu Harada, Ph.D
 
Linuxセキュリティ強化エッセンシャル
Linuxセキュリティ強化エッセンシャルLinuxセキュリティ強化エッセンシャル
Linuxセキュリティ強化エッセンシャルToshiharu Harada, Ph.D
 
TOMOYO Linux on Android (Taipei, 2009)
TOMOYO Linux on Android (Taipei, 2009)TOMOYO Linux on Android (Taipei, 2009)
TOMOYO Linux on Android (Taipei, 2009)Toshiharu Harada, Ph.D
 
Learning, Analyzing and Protecting Android with TOMOYO Linux (JLS2009)
Learning, Analyzing and Protecting Android with TOMOYO Linux (JLS2009)Learning, Analyzing and Protecting Android with TOMOYO Linux (JLS2009)
Learning, Analyzing and Protecting Android with TOMOYO Linux (JLS2009)Toshiharu Harada, Ph.D
 

More from Toshiharu Harada, Ph.D (20)

20090703 tomoyo thankyou
20090703 tomoyo thankyou20090703 tomoyo thankyou
20090703 tomoyo thankyou
 
Job's 2005 Stanford Speech Translation Kit
Job's 2005 Stanford Speech Translation KitJob's 2005 Stanford Speech Translation Kit
Job's 2005 Stanford Speech Translation Kit
 
’You’ve got to find what you love,’ Jobs says
’You’ve got to find what you love,’ Jobs says’You’ve got to find what you love,’ Jobs says
’You’ve got to find what you love,’ Jobs says
 
TOMOYO Linuxのご紹介
TOMOYO Linuxのご紹介TOMOYO Linuxのご紹介
TOMOYO Linuxのご紹介
 
LSM Leaks
LSM LeaksLSM Leaks
LSM Leaks
 
The role of "pathname based access control" in security"
The role of "pathname based access control" in security"The role of "pathname based access control" in security"
The role of "pathname based access control" in security"
 
Tomoyo linux introduction
Tomoyo linux introductionTomoyo linux introduction
Tomoyo linux introduction
 
Your First Guide to "secure Linux"
Your First Guide to "secure Linux"Your First Guide to "secure Linux"
Your First Guide to "secure Linux"
 
振る舞いに基づくSSHブルートフォースアタック対策
振る舞いに基づくSSHブルートフォースアタック対策振る舞いに基づくSSHブルートフォースアタック対策
振る舞いに基づくSSHブルートフォースアタック対策
 
僕より少し遅く生まれてきた君たちへ
僕より少し遅く生まれてきた君たちへ僕より少し遅く生まれてきた君たちへ
僕より少し遅く生まれてきた君たちへ
 
Why TOMOYO Linux?
Why TOMOYO Linux?Why TOMOYO Linux?
Why TOMOYO Linux?
 
Deep inside TOMOYO Linux
Deep inside TOMOYO LinuxDeep inside TOMOYO Linux
Deep inside TOMOYO Linux
 
ComSys2009
ComSys2009ComSys2009
ComSys2009
 
Chained Enforceable Re-authentication Barrier Ensures Really Unbreakable Secu...
Chained Enforceable Re-authentication Barrier Ensures Really Unbreakable Secu...Chained Enforceable Re-authentication Barrier Ensures Really Unbreakable Secu...
Chained Enforceable Re-authentication Barrier Ensures Really Unbreakable Secu...
 
プロセス実行履歴に基づくアクセスポリシー自動生成システム
プロセス実行履歴に基づくアクセスポリシー自動生成システムプロセス実行履歴に基づくアクセスポリシー自動生成システム
プロセス実行履歴に基づくアクセスポリシー自動生成システム
 
TOMOYO Linux
TOMOYO LinuxTOMOYO Linux
TOMOYO Linux
 
Linuxセキュリティ強化エッセンシャル
Linuxセキュリティ強化エッセンシャルLinuxセキュリティ強化エッセンシャル
Linuxセキュリティ強化エッセンシャル
 
TOMOYO Linux on Android (Taipei, 2009)
TOMOYO Linux on Android (Taipei, 2009)TOMOYO Linux on Android (Taipei, 2009)
TOMOYO Linux on Android (Taipei, 2009)
 
TOMOYO Linux on Android
TOMOYO Linux on AndroidTOMOYO Linux on Android
TOMOYO Linux on Android
 
Learning, Analyzing and Protecting Android with TOMOYO Linux (JLS2009)
Learning, Analyzing and Protecting Android with TOMOYO Linux (JLS2009)Learning, Analyzing and Protecting Android with TOMOYO Linux (JLS2009)
Learning, Analyzing and Protecting Android with TOMOYO Linux (JLS2009)
 

Recently uploaded

業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 

Recently uploaded (8)

業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 

使いこなせて安全なLinuxを目指して

  • 1. 使いこなせて安全なLinuxを目指して [ 当日説明用資料 ] 平成 17 年 6 月 2 日 株式会社NTTデータ オープンソース開発センタ 技術開発担当 原田季栄 [email_address]
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7. SELinux の場合 (TE) アクセス可能なラベル ドメイン ファイルなど ラベル アクセス アクセス可能なラベル ドメイン アクセス可能なラベル ドメイン ファイルなど ラベル ラベルは1個の資源に1個だけ プロセスはいずれかのドメインに所属する 「ドメイン」=プロセスに付与された「タイプ」 「ラベル」=プロセス以外に付与された「タイプ」
  • 8. SELinux の場合 (RBAC) ユーザ ロール ロール ロール ドメイン ドメイン ドメイン ドメイン ドメイン ドメイン ロール ロール ロール ロール ユーザ 割り当てられたロールの範囲内で複数のドメイン間を切り替えできる。 ユーザに割り当てられた範囲内で複数のロール間を切り替えできる。 SELinux には、 TE だけでなく、 RBAC (Role-Based Access Control) も実装されています。
  • 9.
  • 10. SELinux におけるドメインの考え方 ドメインは階層構造を持たずにフラット。 プログラムの実行をトリガーとして他のドメインに遷移する。 ドメインは、ユーザ定義。 execve() kernel_t init_t initrc_t sshd_t user_t httpd_t sysadm_t sysadm_t staff_t
  • 11. SELinux の場合(構文) allow passwd_t shadow_t : file { read write … }; 「主体」 となるプロセスのタイプ 「客体」 となるオブジェクトのタイプ 「客体」 となるオブジェクトの種類(オブジェクトクラス) 許可するアクセスの内容(オブジェクトクラスごとに指定できる内容が異なる) タイプについて、あらかじめ正しく割り当てられていることが前提となります。(タイプの定義自体もポリシーの一部)
  • 12.
  • 13.
  • 14.
  • 15.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21. TOMOYO Linux の場合 アクセス可能なパス名 ドメイン ファイルのパス名をラベルとして使用 プロセスはいずれかのドメインに所属する ドメイン ドメイン ドメイン アクセス可能なパス名 アクセス可能なパス名 アクセス可能なパス名 ファイルなど パス名 ファイルなど パス名 ファイルなど パス名 ドメインの包含関係とアクセス可能な資源の範囲とは無関係
  • 22. TOMOYO Linux におけるドメイン <kernel> (カーネルのドメイン) <kernel> /sbin/init (カーネルから起動された init のドメイン) <kernel> /sbin/init /etc/rc.d/rc (カーネルから起動されたinitから起動された rc のドメイン) <kernel> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/httpd (カーネルから起動されたinitから起動された rc から起動された httpd のドメイン) <kernel> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/sshd (カーネルから起動されたinitから起動された rc から起動された sshd のドメイン) <kernel> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/httpd /sbin/initlog (カーネルから起動されたinitから起動された rc から起動された httpd から起動された initlog のドメイン) <kernel> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/sshd /sbin/initlog (カーネルから起動されたinitから起動された rc から起動された sshd から起動された initlog のドメイン) プログラムの実行をトリガーとして自動的にドメインを定義して遷移。
  • 23. TOMOYO Linux におけるドメイン プロセスの実行履歴毎に独立なドメインを自動的に定義。 全てのプロセスを一意に特定することができる。 /sbin/init /sbin/initlog /sbin/initlog ・・・ “ <kernle> /sbin/init /etc/rc.d/rc /etc/rc.d/init.d/sshd /sbin/initlog” というドメイン <kernel> /bin/mount ・・・ /etc/rc.d/rc.sysinit /usr/sbin/sshd /usr/sbin/httpd /bin/tcsh /sbin/modprobe /var/www/cgi-bin/cookie1 /etc/rc.d/init.d/httpd /etc/rc.d/init.d/sshd /etc/rc.d/rc /bin/date /usr/bin/passwd /bin/bash
  • 24.
  • 25.
  • 26. TOMOYO Linux のポリシー構成 ※ それぞれのポリシーファイルの意味と詳細については、論文を参照ください。 syaoran.conf noumount.txt mount.txt chroot.txt allow_read.txt initializer.txt authorized.txt cap_policy.txt allow_bind.txt policy.txt ファイル名 作成を許可するデバイスファイルに関する情報 アンマウント許可情報 改ざん防止機能用 マウント許可情報 システム全体 chroot による移動を認めるディレクトリ 共有ライブラリ等 全てのドメインから読めるファイル一覧 「ドメイン遷移例外」 「信頼済み」ドメイン ネットワークを含む ケイパビリティ ドメイン毎 bind を認めるポート 次ページで例を紹介 ファイルに対するアクセス許可 説明 作成単位 ポリシー定義ファイル種別
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36. デモ:なりすまし対策 追加認証1 追加認証2 ログイン認証 (標準搭載)
  • 37.
  • 38. デモ: RBAC スタッフの部屋 セキュリティ管理者の部屋 サーバ管理者の部屋 (城門) Web サーバの再起動 メールのチェック emacs の起動 セキュリティポリシー違反のチェック
  • 39.
  • 40.