信頼性の確保

Trusted Solaris を導入することで信頼性が、ある程度確保することはできるがすべてを 完全に保護することはできない。本章では、Trusted Solaris 導入により保護できるもの、

できないものを明確にし、それらを踏まえた上での基本方針を示す。 

4.3.1. 保護対象 

Trusted Solaris は、強制アクセス制御、最小特権等の機能を利用している。そのため、

保護できる対象もそれに応じて多くなる。ここでは、保護できる対象を具体的にあげて説 明する。 

4.3.1.1. 最小特権による保護 

一般の OS では、システム管理ユーザである root や administrator が最大限の権限をもっ ている。そのため、ユーザが任意に設定したファイルパーミッション等も root では変更が 可能である。しかし、Trusted Solaris においては、いくら root といえどもアクセス制御 を無視することはできない。これは、パーミッションを変更するために、特権が必要にな るからである。この場合においては、特権 file̲setdac が必要である。そのため、何らか の方法で root の権限が奪取されても、root が実行するパーミッションを変更する chmod コ マンドに file̲setdac が付与されていなければ、ユーザが任意に設定したパーミッション は保護されることになる。しかし、セキュリティ管理者の立場からしてユーザが間違った パーミッションの設定をしている場合、これをすべてユーザ任せにするのは危険である。

そのため、セキュリティ管理者の chmod コマンドには file̲setdac が付与されている。 

強制アクセス制御により root ユーザ、一般ユーザ関係なくアクセス制御が実行されるこ とが理解できたと思う。しかし、特権においてもシステムを乗っ取られる可能性がある。

それは、プロセスに継承可能特権が付与されている場合である。例えば、root で動作して いるプロセスに継承可能特権として file̲dac̲write が与えられていたとする。そのプロセ スのアプリケーションにセキュリティホールが存在し、root の/bin/sh が奪取された場合、

この/bin/sh には file̲dac̲write が継承される。この場合、このプロセスを乗っ取ること で、任意アクセスの制御がおこなうことができるようになる。つまり、プロセスに対して 不要な特権は排除し、最小特権を実現する必要がある。また、特権の組み合わせを有効に 利用することでプロセス継承後の特権も最小にすることが可能になる。 

  Ⅰ‑188  Copyright © 2003 IPA, All Rights Reserved.

4.3.1.2. 強制アクセス制御による保護 

次に、MAC 機能によって保護できるものを説明する。MAC の機能では、同一 SL のみ読み 込み・書込み可能である²⁵。一方で異なる SL の場合は、優位な SL に対しては、読込み不可・

上書きのみ可、優位でない SL に対しては、読込み可、書込み不可という制限がある。イン ターネットサーバーにおいて、この制限をすることで保護できるものがある。例えば、Web サーバーでは、コンテンツや設定ファイル等である。3.5.1 の Web サーバーでも定義したが Web サーバーのプロセスの SL をコンテンツの SL よりも優位にすることで、Web サーバーの プロセスからは設定ファイルやコンテンツファイルを読み込むことは可能であるが、万一、

Web サーバーのプロセスを奪取されても設定ファイルやコンテンツファイルの改竄を防ぐ ことができる²⁶。ただし、一点よく誤解されることがある。それは、優位な SL に対しては 読込み・書込み不可と思われる点である。確かに、読込みは不可であるが、上書きが可能 なのである。つまり優位な SL に対して以下のコマンドは、MAC に関する権限は必要ない¹。 

リスト 4‑1 上書きの実行   

# echo test > test.dat 

test.dat は、echo のプロセス SL よりも優位な SL   

このため、MAC で機密ラベルを変更しているので安全であるというのは間違いである。そ のままでは、ファイルが改竄される可能性がある。そのため、優位な SL のファイルは DAC を併用する。ファイルのパーミッションをオーナにおいても読込み不可としておけばファ イルが変更されることはない。また、バイナリファイル等は、改竄等防ぐためにすべて SL[ADMIN̲LOW]で保存すべきである。その場合もファイルオーナの書込み権は排除すべきで ある。 

4.3.2. 保護非対象 

前章では、Trusted Solaris 導入によって保護できるものについて述べた。ここでは、保 護できないもについて検討する。 

25 DAC については考慮していない。DAC のパーミッションがない場合は、この限りではない。 

26 file̲mac̲read、file̲mac̲write は、考慮していない。今回の Web サーバーでは、継承可能特権として file̲mac̲read、file̲mac̲write は付与していない。 

  Ⅰ‑189  Copyright © 2003 IPA, All Rights Reserved.

4.3.2.1. 暗号化 

Trusted Solaris は、Solaris をベースにして OS 部分をセキュリティ強化したものであ るが、アプリケーションレベルにおいては、更なるセキュリティ強化が必要である。まず、

暗号化について述べる。Trusted Solaris においてはネットワーク上を流れるパケットの暗 号化は考慮されていない。そのため、サーバーマシンから管理端末へ telnet、rlogin 等行 なった際、一般的なツールを利用してネットワーク上のパケットをキャプチャしたりする ことが可能である。ネットワークパケットの暗号化については、Trusted Solaris には、IPsec が含まれており、プロトコル単位、IP アドレス単位等でパケットを暗号化することができ る。これは、Solaris とも互換性があるため、Trusted Solaris のみならず、Solaris との 暗号化も利用することができる。 

4.3.2.2. ポートスキャン・DOS 攻撃 

本ガイドラインに基づきアプリケーションを設定するわかると思うが、inetd 等の設定は 特に Solaris と変わらない。そのため、inetd で動作しているデーモン等は、ポートスキャ ンの対象となり得る。また、外部のネットワークからの IP アドレスやポートに対する DOS 攻撃も可能である。これらの攻撃から、Trusted Solaris を導入しただけでは守ることはで きない。もちろん、ポートスキャン等でセキュリティホールが見つかってもそのデーモン が最小特権で動作していれば被害を最小限にとめることができることは、前章の保護対象 で述べたとおりである。しかし、さらにこれらの攻撃から守るには、従来とおり不要なサー ビスを止め、必要なサービスに関しては、TCPWrapper や Firewall を導入することが望まし い。Trusted Solaris 4/01 には、Firewall ソフトとして SunScreen3.2 が含まれている。

インストールマニュアルには、Trusted Solaris におけるインストール方法も明記されてい るので、是非参考にして頂きたい。 

4.3.2.3. パスワードの管理 

Trusted Solaris は、RBAC を採用しているため、一般ユーザと管理者が存在する。管理 者が CDE のログイン画面からログインすることはできないが、デフォルトの設定では root 役割には、solaris.login.su 承認が割り当てられているため、Trusted Path が 0(off)でも スイッチユーザが可能である。通常、Trusted Solaris が 0(off)では権限が付与されたコ マンドは実行できない。しかし、システムファイルのほとんどが root の所有者になってい る。そのため、もし一般ユーザルートのパスワードを取得すればシステムファイルを変更 される可能性がある。一般的に、root が持っているプロファイルは、システム設定後、す べてなくしてしまうのが望ましい。また、不要な承認等も排除すべきである。しかし、原

  Ⅰ‑190  Copyright © 2003 IPA, All Rights Reserved.

点に戻ると一般ユーザと管理者のパスワードは盗まれないようにするのが最善である。こ れらは、Trusted Solaris でも保護することはできないので定期的にパスワードを変更する ことが必要である。 

4.3.3. 信頼性確保の基本方針 

4.3.1、4.3.2 を踏まえて信頼性確保のための基本方針を以下にしめす。 

表 4‑1 信頼性確保の基本方針 

＃  項目  内容 

1 最小特権  プロセスに必要な特権のみを与えて不要な特権は排除す べきである。そのためには、プロセスの振る舞いを正確 に把握する必要がある。 

2 強制アクセス制御  動作するプロセスの機密ラベルと設定ファイル、コンテ ンツファイル等を隔離すべきである。 

3 ファイルパーミッション  バイナリファイルは書き込み権必要ないため廃除する  4 暗号化  Trusted Solaris は、デフォルトではネットワークパケッ

トは暗号化しない。必要に応じて、SSL や IPsec 等の導 入を検討する 

5 パケットフィルタリング・

ハードニング 

DOS 攻撃の対象となる不要なポートやサービス等は停止 すべきである。 

6 セキュリティポリシー  システムのセキュリティポリシーを定義する場合は慎重 におこなう必要がある。また、定期的なポリシーの見直 しは必要である。 

7 パスワードの管理  Trusted Solaris がセキュアな OS といえどもパスワード の管理は徹底すべきである。また、定期的なパスワード の変更も必要である。 

  Ⅰ‑191  Copyright © 2003 IPA, All Rights Reserved.