権限を最小化するLinuxカーネルケーパビリティ - @IT
第3回 権限を最小化するLinuxカーネルケーパビリティ 面 和毅 サイオステクノロジー株式会社 インフラストラクチャービジネスユニット Linuxテクノロジー部 OSSテクノロジーグループ シニアマネージャ 2006/1/18 前回「ファイルACLを用いたアクセス制御」では、LIDSの特徴であるファイルACLによる強制アクセス制御(MAC)とその実装について見ました。今回は、LIDSの特徴の2つ目である「Linuxカーネルケーパビリティ」を見ていきましょう。 権限を切り分けるPOSIXケーパビリティ 通常、UNIXにおけるプロセスは、一般ユーザー権限で動くか、特権(root権限)で動くかの2種類しかありません。プロセスに特権が必要となるのは、Apacheなどのサービスがポート1024番未満のいわゆる「特権ポート」をプロセスで使用する場合や、pingやsnortなどのように生(raw)ソケ
natテーブルを利用したLinuxルータの作成
サーバとして ・受信パケットは破棄。ただしステートフル性を確認し、サーバから送信されたパケットに関連するものは許可 ・送信パケットは基本的にすべて許可 ・ループバックアドレスに関してはすべて許可 ・メンテナンスホスト(内部)からのping、メンテナンスホストへのpingを許可 ・メンテナンスホスト(内部)からのssh(TCP 22)を許可 ルータとして ・Linuxサーバを経由して外部へ出ていくパケットのソースアドレスを変換 ・内部アドレスやプライベートアドレスが外部に漏れないようにブロック ・Windowsファイル/プリンタ共有パケット(TCP/UDP 137〜139、445)の転送をブロック ・その他転送パケットで、内部ネット→外部ネットのものは許可。外部ネット→内部ネットへの転送パケットはステートフル性を確認できたものだけ許可 このテンプレートでは、市販のブロードバンドルータと同等な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
