exec*パーミッション
MLで質問してみた。素晴らしい回答が帰ってきた。
さすがSmalley氏。
http://marc.theaimsgroup.com/?l=selinux&m=113440812327410&w=2
paxtest(後述)によるデータ付き。
exec*パーミッション(execmem,execstackなど)は,Exec Shieldにプラスすることで,さらにバッファオーバーフロー攻撃耐性を高めるものだとか。
Exec Shieldが無い環境では意味なし。
つまり,
Exec Shield:スタックなどを実行不可にする。
が,mprotectシステムコールで「スタックを実行可」とすると,
Exec Shieldを解除できるようだ。
Exec Shieldの解除を防ぐためにexec*パーミッションがあるわけですな。
根本的な疑問として,
「スタックなどが実行不可なのに,攻撃者はどうやってmprotectを呼ぶか?」
というのがある。
が,「間違ってmprotectを呼んでしまうプログラムによってExec Shieldを解除されることを防止する」ことはできる。
バッファオーバーフローのテスト
http://pax.grsecurity.net/
のpaxtestというユーティリティが,バッファオーバーフロー攻撃テストに役立つらしい。
■
ポリシのソースパッケージが無くなる!
ポリシのソースがなくなっていることをfedora-selinux-listに聞いてみた。
https://www.redhat.com/archives/fedora-selinux-list/2005-December/msg00058.html
そしたら,FC5からは,ポリシのソースは添付されなくなるとか。
モジュール対応してるので,バイナリポリシに,audit2allowしたものを追加できるとか。これから試さねばなぁ。
で,fedora-develリストにも入ったほうがいいと言われた。fedora-selinuxリストに流れないSELinuxの変更点が流れることもあるとか…
ソースが無くなる件も,
https://www.redhat.com/archives/fedora-devel-list/2005-November/msg01092.html
にあった。やられた…
にしても,FC5になると,本当にSELinuxの使い方が変わってしまう。
が,いくつMLに入ればいいんだ(汗
この手のMLにすばやく反応できる人は,一体どういう生活・仕事をしているのか知りたい…
SELinux Symposium
Developer Summit
今回のSELinux Symposium,「Developer Summit」というのが開催されるらしい。
招待制だとか。
http://www.selinux-symposium.org/2006/agenda.php
で,興味がある人,招待して欲しい人はメールしろと書いてあった。
興味があるのでメールをしてみた。
そしたら,
「本当のデベロッパーのみが集まり,なるべく少人数にしたい」
と言われた。これは,「お呼びじゃない」という意味かと思い,
「じゃ遠慮しときます」と送ったら、
今度は「脅かすつもりはなかった」と言われ,「あなた次第」だと言われた。
うーん…どうしよう。赤恥かきそうだしなぁ。迷ってます。
担当者は,どうやらSmalleyさんのようです。
全然関係ないけど,Smalleyさんの英語は外人慣れしてなくて超早口なのです。
● 追記
意を決して,「参加したい」とのメールを送った。
メール書くだけで緊張する。
ツールとはいえ,私も一応「開発者」なので,自信を持つしかない。
Policy Editorから得た知見だけではなく,
普段はMLに投稿しずらい日本人からの意見も集約できるはず。
SELinux Policy Editorの開発も,ちょっと本家とずれているので,もうすこし本家にcontributeできるようにしたいと思っている。
Works in Progress(WiPs) セッション
が,噂どおり開催されるそうだ。
とりあえず応募。受け付けた旨が,なぜか,Karlさんから即来た。
これは通るといいなぁ(ていうか通らないと困る…)
