3. 構築
3.4. セキュリティポリシーのファイル構成
3.4.4. 特権定義
従来の UNIX では、プロセスの実効 UID が 0(euid=0)である場合、唯一にして最大の特 権を持つと判断される。その判定はカーネル関数(suser())が行っている。Trusted Solaris ではこの関数を排除し、カーネルは細分化された適切な特権の解釈をしている。
特権は、プロファイルにより、コマンド、アクション、シェルやプログラムなどに個別 に割り当てることが可能である。プロファイルに与えられる特権は継承可能特権であり、
fork(2)や exec(2)などのシステムコールによって派生するプロセスに継承される特権であ る。
また、特権は、実行可能ファイルのファイル属性として割り当てることも可能である。
ファイルの属性として定義される特権は強制特権と許容特権であり、これらは派生するプ ロセスに継承されることのない特権である。
有効となる特権は、プロセスの実行環境やプロセスの派生状態に応じ、上記の三種類の 特権の組み合わせにより適宜決定される。
Ⅰ‑78 Copyright © 2003 IPA, All Rights Reserved.
表 3‑29 File System 特権
# 特権 (特権 ID) 主な権限 種別
1 file̲audit (1) ファイルおよびディレクトリの監査事前選択情 報の取得と設定を許可
TS 2 file̲chown (2) ファイルの所有者の変更を許可 TS 3 file̲dac̲execute (3) DAC の制限を超えてファイルの実行を許可 TS 4 file̲dac̲read (4) DAC の制限を越えてファイルの読込を許可 TS 5 file̲dac̲search (5) DAC の制限を超えてファイルの検索を許可 TS 6 file̲dac̲write (6) DAC の制限を越えてファイルの書込を許可 TS 7 file̲downgrade̲sl (8) ファイルおよびディレクトリに対する優位でな
い SL の設定を許可
TS 8 file̲lock (9) 保持していないファイルロックのロック情報の
取得を許可
TS
9 file̲mac̲read (10) MAC の制限を越えてファイルの読込を許可 TS 10 file̲mac̲search (11) MAC の制限を超えてファイルの検索を許可 TS
11 file̲mac̲write (12) MAC の制限を越えてファイルの書込を許可 TS 12 file̲owner (14) ファイルの所有者に関わらずアクセス時間・修正
時間・監査事前選択属性・特権・ラベルの変更許 可
TS
13 file̲setdac (15) ファイルおよびディレクトリの所有者にかかわ らずパーミッションと ACL の属性の変更を許可
TS 14 file̲setid (16) ファイルの所有者の変更や set‑user‑ID ビット
および set‑group‑ID ビットの設定を許可
TS 15 file̲setpriv (17) ファイルの所有者が実行可能ファイルに対する
特権の設定を許可
TS 16 file̲upgrade̲sl (19) ファイルおよびディレクトリに対する優位な SL
の設定を許可
TS
Note:
file̲dac̲write 特権と file̲mac̲write 特権はファイル保護の制限を越える特権であるが、共 に与えられたプロセスはすべてのファイルへの書込が可能となり、そのようなプロセスが不 正に利用された場合は定義ファイルやログファイルなどが改竄される恐れがある。これを防 ぐためには対象となるファイル属性を変更することにより特権を与えることを回避する方が 望ましい。
Ⅰ‑79 Copyright © 2003 IPA, All Rights Reserved.
表 3‑30 System V IPC 特権
# 特権 (特権 ID) 主な権限 種別
1 ipc̲dac̲read (20) DAC の制限を越えて IPC メッセージキュー・セマ フォセット・共有メモリセグメントの読取を許可
TS 2 ipc̲dac̲write (21) DAC の制限を越えて IPC メッセージキュー・セマ
フォセット・共有メモリセグメントの書込を許可 TS 3 ipc̲mac̲read (23) MAC の制限を越えて IPC メッセージキュー・セマ
フォセット・共有メモリセグメントの読取を許可 TS 4 ipc̲mac̲write (24) MAC の制限を越えて IPC メッセージキュー・セマ
フォセット・共有メモリセグメントの書込を許可 TS 5 ipc̲owner (26) IPC メッセージキュー・セマフォセット・共有メ
モリセグメントの削除や所有者・パーミッション ACL の変更を許可
TS
表 3‑31 Network 特権
# 特権 (特権 ID) 主な権限 種別
1 net̲broadcast (30) ブロードキャストおよびマルチキャストの送信 を許可
TS 2 net̲dowgrade̲sl (32) 書込中のデータに対する SL の指定またはネット
ワーク終端のデフォルトに対する優位でない SL の設定を許可
TS
3 net̲mac̲read (33) マルチレベルのポートのバインドとアクセプト を許可
TS 4 net̲privaddr (35) 特権ポート(1‑1023 および 6000‑6002)のバイン
ドを許可(well‑known port を含む)
TS 5 net̲rawaccess (36) ネットワーク層への直接アクセスを許可(ネット
ワークのラベル付けは省略され監査は省略され ない)
TS
6 net̲reply̲equal (37) 最後に受け取ったパケットのラベルでのリプラ イを許可
TS 7 net̲setclr (38) 書込中のデータに対する許可上限の指定または
ネットワーク終端のデフォルトに対する許可上 限の設定を許可
TS
8 net̲setid (39) 書込中のデータに対する実効 UID・実効 GID・付 随するグループの指定またはネットワーク終端 のデフォルトの実効 UID・実効 GID・付随するグ ループの設定を許可
TS
9 net̲setpriv (40) 書込データに対する特権の設定またはネット ワーク終端のデフォルトに対する特権の設定を 許可
TS
10 net̲upgrade̲sl (42) 書込中のデータに対する SL の指定またはネット ワーク終端のデフォルトに対する優位な SL の設 定を許可
TS
Ⅰ‑80 Copyright © 2003 IPA, All Rights Reserved.
Note:
net̲mac̲read 特権と net̲reply̲equal 特権はインターネットサーバーのプロセスをマルチレ ベルに対応させる場合に組み合わせて利用する。これにより外部と内部に対して異なるラベ ルを割り当てたマルチラベルのネットワークアクセスにプロセスが対応することが可能とな る。
表 3‑32 Process 特権
# 特権 (特権 ID) 主な権限 種別
1 proc̲audit̲appl (43) Trusted Solaris の TCB イベント番号範囲外の監 査イベントについての監査レコード生成を許可
TS 2 proc̲audit̲tcb (44) Trusted Solaris の TCB イベント番号範囲内の監
査イベントについての監査レコード生成を許可 TS 3 proc̲chroot (45) ルートディレクトリの変更を許可 TS 4 proc̲debug̲nontranquitl
(29)
プロセスオブジェクトの SL を変更する際にプロ セスオブジェクトへの一定のアクセスを許可
TS 5 proc̲dumpcore (46) TCB プロセスが set‑user‑ID または set‑group‑ID
が設定されたプログラムの実行またはシグナル を受け取って core ファイルを生成する特権を利 用するプログラムの実行を許可
TS
6 proc̲mac̲read (47) 対する優位な SL を持つプロセスからの読込を許 可
TS 7 proc̲mac̲write (48) 対する優位でない SL を持つプロセスへの書込を
許可
TS 8 proc̲nodelay (49) 秘密チャネルと識別される操作の際にプロセス
を遅延させるとう対策を行わないことを許可
TS 9 proc̲owner (51) プロセスの所有者に関わらずプロセスからの読
込やプロセスへの書込を許可
TS 10 proc̲setclr (52) 現在のプロセスの許可上限と異なる許可上限の
設定を許可
TS 11 proc̲setid (53) 現在のプロセスの UIG または GID と異なる UID
または GID の設定を許可
TS 12 proc̲setsl (55) 現在のプロセスの SL と異なる SL の設定を許可 TS 13 proc̲tranquil (56) プロセスオブジェクトが他のプロセスに利用さ
れている際に現在と異なる SL の設定を許可
TS
Note:
proc̲setid 特権は setuid(2)や setgid(2)により実 UID や実 GID を変更する場合に必要となる 特権である。
Ⅰ‑81 Copyright © 2003 IPA, All Rights Reserved.
表 3‑33 System 特権
# 特権 (特権 ID) 主な権限 種別
1 sys̲audit (57) カーネルの監査デーモンの起動を許可 TS 2 sys̲boot (58) halt(停止)・re‑boot(再起動)・suspend(中断)
を許可
TS 3 sys̲config (59) メモリマップドファイルまたは共有メモリセグ
メントのロックとアンロックを許可
TS 4 sys̲console (60) コンソールの出力を他のデバイスへ切替えるこ
とを許可
TS 5 sys̲devices (61) デバイスス特殊ファイルの生成を許可 TS 6 sys̲fs̲config (63) ファイルシステムロックの操作を許可 TS 7 sys̲ipc̲config (64) IPC メッセージキューのバッファサイズの拡大
を許可
TS 8 sys̲maxproc (65) プロセスの所有者がプロセスの最大数を超えた
際にプロセスの生成を許可
TS 9 sys̲minfree (66) ファイルシステムの空き記憶領域が最低値を下
回った際にファイルシステムへの書込を許可
TS 10 sys̲mount (67) マウント制限されたファイルシステムのマウン
トを許可
TS 11 sys̲net̲config (68) ネットワークインターフェースおよびルーティ
ングの設定を許可
TS 12 sys̲nfs (69) カーネルの NFS デーモンの起動を許可 TS 13 sys̲suser̲compat (70) カーネル suser()関数のコールを許可 TS 14 sys̲system̲door (28) すべての SL からオープン可能な door の生成を許
可
TS 15 sys̲trans̲label (71) プロセスの SL より優位でない SL の「外部文字列
形式」とラベルの変換を許可
TS
Note:
sys̲suser̲compat 特権は Trusted Solaris 以外のローダブルモジュールによる suser()関数 のコールに対して成功をさせる特権である。
Ⅰ‑82 Copyright © 2003 IPA, All Rights Reserved.
表 3‑34 Window 特権
# 特権 (特権 ID) 主な権限 種別
1 win̲colormap (72) カラーマップの制限を越えることを許可 TS 2 win̲config (73) X サーバーにパーマネントに維持されるリソー
スの設定と削除を許可
TS 3 win̲dac̲read (74) 所有者となっていないウインドウリソースの読
込を許可
TS 4 win̲dac̲write (75) 所有者となっていないウインドウリソースの書
込と生成を許可
TS 5 win̲dga (76) X のダイレクトグラフィックアクセスプロトコ
ル拡張の利用を許可
TS 6 win̲devices (77) ウインドウの入力デバイスに操作を実行するこ
とを許可
TS 7 win̲downgrade̲sl (79) 現在のウインドウリソースの SL を優位でない SL
に設定することを許可
TS 8 win̲fontpath (80) フォントパスの設定を許可 TS 9 win̲mac̲read (81) 対する優位な SL を持つウインドウリソースから
の読込を許可
TS 10 win̲mac̲write (82) 対する優位でない SL を持つのウインドウリソー
スへの書込と生成を許可
TS 11 win̲selection (83) 選択を仲介するプログラムの干渉無しにウイン
ドウ間のデータの移動を要求することを許可
TS 12 win̲upgrade̲sl (86) 現在のウインドウリソースの SL を優位な SL に設
定すること設定を許可
TS
3.4.4.1. 特権の定義と確認
プロファイルの実行属性として与えられる継承可能特権、実行可能ファイルの属性とし て与えられる強制特権と許容特権、それぞれについて設定と確認の方法、また、実行中の プロセスの特権についての確認の方法についてまとめる。
(1) 特権の設定方法
プロファイルおよび実行可能ファイルにおける特権を設定するツールを表 3‑35 に 示す。
表 3‑35 特権の設定ツール
# 設定可能対象 特権の種類 GUI ツール CUI ツール 種別
1 プロファイル 継承可能特権 SMC
3.4.3.4(2)(A)参照
smprofile S8+
2 実行可能ファイル 強制特権 許容特権
File Manager setfpriv (A)参照
TS