sendmail

13 COMMERCIAL IP SECURITY OPTION

3.5. セキュリティポリシーの定義

3.5.3. SMTP サーバー

3.5.3.1. sendmail

本節では、sendmail を利用した SMTP サーバー構築の際の設定指針として、SELinux に標準で用意されているセキュリティポリシー定義を解説し、その留意点を明らかにする。

本ガイドラインで利用を想定している sendmail のバージョンは 8.12.5 である。これは、

Red Hat Linux 8.0 のインストール CD に含まれている sendmail のバージョンに等しい。バージョン 8.12 では、セキュリティ関連の見直しの結果としてその仕様が大きく変更されているのはご存知だろうか。sendmail は MTA としての機能と MSA としての機能の双方を有するプログラムであるが、従来は MSA として機能する場合にも root 特権を獲得して稼動していた。これは単純に、MTA として機能する際に root 特権が必要であるからだと思われる。しかし MSA として機能する限りは root 特権ほどの権限は必要ないためセキュリティ上好ましくない。この点が考慮され、バージョン 8.12 からは MTA として機能するプロセスと MSA として機能するプロセスとが分離されたのである。本ガイドラインで利用を想定しているバージョンの SELinux に含まれている標準セキュリティポリシー定義では、この仕様変更が考慮されていないため、ローカルからメールを発信する際に問題が発生する。この点に関しては 3.5.3.1(6)にて解説しているので参考にしてほしい。

(1) ディレクトリ構造

Red Hat Linux 8.0 のインストール CD に含まれる RPM パッケージから sendmail をインストールした際のディレクトリ構造を表 3‑15 に示す。以降ではこのディレクト

リ構造に則してセキュリティポリシー定義を解説する。なお同表ではドキュメントファイルあるいは man ページ等のインストール先は記載していないので注意してほしい。

表 3‑15 sendmail のディレクトリ構造

＃ファイルパス内容

1 /etc/ エイリアスファイルの配置先

2 /etc/mail/ エイリアスファイル以外のコンフィギュレーションファイルの配置先

3 /etc/pam.d/ PAM³²における SMTP 用のコンフィギュレーションファイルの配置先

4 /etc/rc.d/init.d/ initrc スクリプトの配置先

5 /etc/smrsh/ smrsh シェルから起動を許可するプログラム配置先 6 /etc/sysconfig/ sendmail の initrc スクリプトより参照される各種

定数が定義されたファイルの配置先

7 /usr/bin/ sendmail 本体へのリンクファイルと管理用コマンドへのリンクファイルの配置先

8 /usr/lib/ sendmail 本体へのリンクファイルの配置先 9 /usr/lib/sasl/ Cyrus SASL ライブラリが SMTP サーバーから利用さ

れる際に読み込むコンフィギュレーションファイルの配置先

10 /usr/sbin/ sendmail 本体をはじめ、幾つかの管理用コマンドの配置先

11 /var/log/ ログファイルの出力先

12 /var/mail/ /var/spool/mail へのシンボリックリンク 13 /var/run/ PID ファイルの作成先

14 /var/spool/clientmqueue/ クライアントキューディレクトリ 15 /var/spool/mail/ スプールディレクトリ

16 /var/spool/mqueue/ キューディレクトリ 17 /var/tmp/ デッドレターの出力先

(2) セキュリティポリシー設定ファイル

sendmail に関連するセキュリティポリシー定義ファイルを表 3‑16 に示す。

32 PAM（Pluggable Authentication Modules）は、汎用的なユーザ認証メカニズムを提供するモジュールである。Red Hat Linux では、Linux‑PAM と呼ばれる実装モジュールが利用されている。

http://www.kernel.org/pub/linux/libs/pam/

表 3‑16 sendmail のセキュリティポリシー定義ファイル一覧

＃ファイルパス説明

1 file̲contexts/program/sendmail.fc sendmail に関連するファイルに対してアタッチするセキュリティコンテキストを定義したファイル

2 macros/program/sendmail̲macros.te sendmail に関連したマクロを定義したファイル

3 domains/program/sendmail.te sendmail のセキュリティポリシーを定義したファイル

なお、 SMTP サーバー共通のセキュリティポリシー定義ファイルに関しては 3.5.3.4(1)を参照してほしい。

(3) オブジェクトのセキュリティコンテキスト

sendmail に関連した各種オブジェクトに対してアタッチされるセキュリティコンテキストを解説する。

(A) ファイルのセキュリティコンテキスト

sendmail に関連するファイルとディレクトリにアタッチするセキュリティコンテキストはファイル file̲contexts/program/sendmail.fc にて定義されており、

3.5.3.1 のディレクトリ構造に基いて設計されている。ファイル sendmail.fc の内容をリスト 3‑159 に示す。

リスト 3‑159 file̲contexts/program/sendmail.fc

① /etc/mail(/.*)? system̲u:object̲r:etc̲mail̲t

② /var/spool/mqueue(/.*)? system̲u:object̲r:mqueue̲spool̲t

③ /var/log/sendmail.st system̲u:object̲r:sendmail̲var̲log̲t

①は、ディレクトリ/etc/mail と同ディレクトリ下に配置されている、sendmail が使用するコンフィギュレーションファイルに対してアタッチするセキュリティコンテキストの定義である。

②は、キューディレクトリと同ディレクトリ下のファイルに対してアタッチするセキュリティコンテキストの定義である。

③は、sendmail の出力する統計情報ファイルに対してアタッチするセキュリティコンテキストの定義である。ただし、RPM より sendmail をインストールした場合、

統計情報の出力先ファイルは/etc/mail/statistics となっており、ここでの定義は意味のないものとなっている。

sendmail のインストール先等、ディレクトリ構造に相違がある場合には、セキュリティコンテキストが適切にアタッチされるように同ファイルを編集する必要がある。

(B) ポートのセキュリティコンテキスト

ポートに対するセキュリティコンテキストはファイル net̲contexts にて定義されており、この際アタッチされる type 「 smtp̲port̲t 」はファイル domains/program/mta.te にて定義されている。ファイル mta.te に関しては、

3.5.3.4(4)を参照してほしい。

(4) マクロ

sendmail 固有のマクロ「 sendmail̲user̲domain 」を定義したマクロファイル macros/program/sendmail̲macros.te が存在する。同マクロはユーザ domain から起動された sendmail プロセスにアタッチするための domain を定義するものである。なお、

同マクロにて定義される domain はデーモンとして起動される sendmail プロセスにアタッチする domain とは区別されている点に注意が必要である。

マクロ「sendmail̲user̲domain」はマクロファイル macros/user̲macros.te にて定義されているマクロ「 user̲domain 」から呼び出されている。つまり、マクロ

「user̲domain」を用いて、あるユーザ domain「"domain̲prefix"̲t」を定義することで、同時に本マクロにて domain「"domain̲prefix"̲mail̲t」が定義される。そして、

ユーザ domain「"domain̲prefix"̲t」から起動される sendmail プロセスには、domain

「"domain̲prefix"̲mail̲t」がアタッチされるようになるのである。

マクロファイル macros/program/sendmail̲macros.te の全容は付録のリスト A‑12 を参照してほしい。

(A) ケイパビリティ

リスト 3‑160 は、ユーザ domain から起動された sendmail プロセスがケイパビリティを獲得することを許可するセキュリティポリシー定義である。

リスト 3‑160 ケイパビリティ

allow $1̲mail̲t self:capability net̲bind̲service;

ここでは、ケイパビリティ CAP̲NET̲BIND̲SERVICE（ソケットの bind）を獲得することを許可している。

(B) テンポラリファイルの保護

ユーザ domain から起動された sendmail プロセスによって、その稼動中にテンポラリ領域下に作成されるテンポラリファイルを保護するべきである。

リスト 3‑161 テンポラリファイルの保護

type $1̲mail̲tmp̲t, file̲type, sysadmfile, tmpfile;

file̲type̲auto̲trans($1̲mail̲t, tmp̲t, $1̲mail̲tmp̲t)

テンポラリファイルを保護するには、sendmail プロセスがテンポラリ領域下にファイルを作成した際に、同ファイルに対して作成者である sendmail プロセス固有の type をアタッチすれば良い。sendmail プロセスにはその起動元であるユーザ domain 固有の domain がアタッチされているため、テンポラリファイルにアタッチする type もまたユーザ domain 固有の type をアタッチするのが望ましい。リスト 3‑161 では、ユーザ domain「"domain̲prefix"̲t」固有の、つまり、sendmail プロセスにアタッチされている domain「"domain̲prefix"̲mail̲t」に固有の type として、「 "domain̲prefix"̲mail̲tmp̲t 」を宣言している。そして、この domain

「"domain̲prefix"̲mail̲t」が、type「tmp̲t」のアタッチされたディレクトリ（テンポラリ領域）下にファイルを作成した際に、同ファイルに対して domain

「"domain̲prefix"̲mail̲tmp̲t」をアタッチするべくファイル type 遷移ルールを定義している。

sendmail は MDA プログラムによって発信あるいは送信されたメールの総数とその総容量を統計情報として追跡する機能を有している。これらの情報は統計情報ファ

イル /etc/mail/statistics ³³ に出力される。従って、 domain

「"domain̲prefix"̲mail̲t」には、統計情報ファイルに対する書き込み権限を与える必要がある。

リスト 3‑162 統計情報ファイルに対するアクセス制御

allow $1̲mail̲t etc̲mail̲t:file rw̲file̲perms;

統計情報ファイルには、セキュリティコンテキストとして type「etc̲mail̲t」がアタッチされている。リスト 3‑162 では、type「etc̲mail̲t」のアタッチされたファイルに対する書き込み権限を与えている。

(D) スプールディレクトリに対するアクセス制御

sendmail におけるローカルメール配送形式は mbox 形式³⁴である。mbox 形式のローカルメール配送では、全ユーザ共通のスプールディレクトリ/var/spool/mail 下に各ユーザのメールボックスファイルを作成するため、同ディレクトリに対するファイル作成権限が必要である。

リスト 3‑163 スプールディレクトリに対するアクセス制御

allow $1̲mail̲t mail̲spool̲t:dir rw̲dir̲perms;

allow $1̲mail̲t mail̲spool̲t:file create̲file̲perms;

実際のローカルメール配送は、 sendmail から起動されるプログラム /usr/sbin/procmail が行う。従ってリスト 3‑163 では、スプールディレクトリに対するファイル作成権限を、 procmail プロセスにアタッチされる domain

「"domain̲prefix"̲mail̲t」（3.5.3.4(3)(B)を参照）に対して与えている。

33 バージョン 5.1 よりも前のバージョンの sendmail では、統計情報ファイルは/var/tmp/sendmail.st であった。

34 全ユーザの受信メールを共通ディレクトリ（一般的には/var/spool/mail）下にユーザ毎に別ファイルとして保存する形式のこと。mbox 形式の場合、同一ユーザ宛のメールメッセージはすべて 1 つの mbox ファイルに追記・管理される。

ドキュメント内 IPA:セキュアなインターネットサーバー構築に関する調査 (ページ 125-142)