SlideShare une entreprise Scribd logo

SELinuxの課題について

Télécharger en tant que PPTX, PDF
A
Atsushi Mitsu

SELinuxをきちんと使おうとすると情報が少ないです。情報を持ち寄れると良いですね

Technologie
1  sur  36
© Hitachi, Ltd. 2017. All rights reserved. CSS 2017 企画セッション オープンソースソフトウェア(OSS)のセキュリティ技術について 2017/10/25 株式会社 日立製作所 OSSソリューションセンタ 飯島正人 最新のLinuxセキュリティ技術の動向・課題 Part2: SELinuxの課題について
© Hitachi, Ltd. 2017. All rights reserved. 1 本日の内容 1.SELinuxの現状と課題 2.RBAC機能 3.SELinuxのテスト 4.日立の取り組み
© Hitachi, Ltd. 2017. All rights reserved. 2 1.SELinuxの現状と課題
© Hitachi, Ltd. 2017. All rights reserved. 3 ・最近の脆弱性多発に対応する手段として再注目 ・IoT、コンテナ技術のセキュリティ問題で再注目 1.SELinuxの現状と課題 ・Technology radar (https://www.thoughtworks.com/radar) Platforms に急に登場。「ADOPT(推奨できるレベル)」 ・OSSセキュリティ技術の会のイベント 2017年5月16日に「OSSセキュリティ技術の会」主催の第一回勉強会 「闘将(たたかえ)!! SELinuxの巻」を開催。 19時スタートにも関わらず、140名近い参加者! 参照URL https://thinkit.co.jp/article/11947 ・連載:IoT時代の最新SELinux入門(日経BP社) 著者:中村雄一、面 和毅 協力:OSSセキュリティ技術の会 参照URL http://itpro.nikkeibp.co.jp/atcl/column/17/041900153/
© Hitachi, Ltd. 2017. All rights reserved. 4 再注目されているはずなのに 企業システムに導入した事例は聞かない 導入は進んでいるのか? 1.SELinuxの現状と課題
© Hitachi, Ltd. 2017. All rights reserved. 5 1.SELinuxの現状と課題 本番環境への導入はしていないが、 検証されている方はいます 本番環境への導入を検討中の お客様もいます
© Hitachi, Ltd. 2017. All rights reserved. 6 1.SELinuxの現状と課題 導入が進まない理由として、 企業システムへSELinuxを適用させる ための情報不足が挙げられます 今回は、情報量の少ない下記について 考察していきます RBAC機能 SELinuxのテスト
© Hitachi, Ltd. 2017. All rights reserved. 7 2.RBAC機能
© Hitachi, Ltd. 2017. All rights reserved. 8 SELinuxを「有効」にすれば、TE(TypeEnforce ment)によりプロセスには制限が掛かります 2.1 SELinuxを導入した環境(現状) ポリシーにない アクセスは拒否 感染/潜伏(環境調査)/拡散 踏み台にしての攻撃 攻撃者 ユーザ サーバ ユーザ ユーザ 攻撃/不正侵入されても被害を限定化 SELinux 「有効」 ほとんどの場合、ここで終わってます
© Hitachi, Ltd. 2017. All rights reserved. 9 じつは・・・ rootアカウントは、SELinuxの制限を ほぼ受けないunconfined_tドメインで 動作しています rootアカウントのSELinuxコンテキスト # id -Z unconfined_u:unconfined_r:unconfined_t 2.2 rootアカウントは制限を受けない (SELinuxユーザ) (ロール) (ドメイン)
© Hitachi, Ltd. 2017. All rights reserved. 10 ログイン名 SELinuxユーザ MLS/MCS 範囲 サービス __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * LinuxユーザとSELinuxユーザのマッピング設定(デフォルト設定) SELinuxユーザ X Window ログイン suまたはsudo の実行 $HOMEおよび /tmpでのアプリ ケーション実行 ネットワークへの アクセス sysadm_u 可 su、sudo 可 可 staff_u 可 sudoのみ 可 可 user_u 可 不可 可 可 guest_u 不可 不可 不可 不可 xguest_u 可 不可 不可 Firefoxのみ unconfined_u 制限なし 制限なし 制限なし 制限なし SELinuxユーザの権限 2.3 SELinuxユーザ設定(デフォルト)
© Hitachi, Ltd. 2017. All rights reserved. 11 何でもできる rootアカウントを奪われると SELinuxを無効化することも可能 = すべてのシステムで必要ではありませんが、 高いセキュリティが求められるシステムでは 何らかの回避策が必要 ※一般ユーザはアカウントを奪われても通常のパーミッションチェックで制限されるため、 基本的には何もできない 2.4 rootアカウントを奪われると何でもできる
© Hitachi, Ltd. 2017. All rights reserved. 12 回避するには 制限の掛からない unconfined_u は使用しない rootユーザで、SELinuxの制御をできないようにする 2.5 回避策の検討 役割(ロール)に応じたアクセス権の付与ができる機能 rootユーザに対しても操作可能な範囲を制限できる 運用管理向けのロールがデフォルトで準備されている RBACとは RBAC(Role Based Access Control)機能を利用する ことで実現できます
© Hitachi, Ltd. 2017. All rights reserved. 13 運用管理向けのロール 役割 ロール名 説明 Web管理者 webadm_r Apache HTTPサーバに関連するSELinuxタイプの管理のみ可能 DB管理者 dbadm_r MariaDBデータベースおよびPostgreSQLデータベース管理システ ムに関連するSELinuxタイプの管理のみ可能 ログ管理者 logadm_r syslogおよびauditlogプロセスに関連するSELinuxタイプの管理の み可能 SELinux管理者 secadm_r SELinuxの管理のみ可能 監査システム 管理者 auditadm_r auditサブシステムに関連するプロセスの管理のみ可能 SELinuxの仕様で、同時に有効となるロールは1つ Linux ユーザ SELinux ユーザ Web管理者 ロール DB管理者 ロール 有効になるのは どちらか1つWebサーバの管理を行う時と DBサーバの管理を行う時で ロールを切り替える必要がある 2.6 RBAC機能 Webサーバ DBサーバ
© Hitachi, Ltd. 2017. All rights reserved. 14 RBAC機能を利用した構成を考えました 制限の掛からない unconfined は使用禁止 攻撃者に狙われやすいrootは一般ユーザ化 特権を分散し、アカウントを奪われた場合の 影響を限定化 SELinuxの管理は専用ユーザで実施 運用に必要な権限も専用ユーザに付与 2.7 RBAC機能を利用して回避 観点
© Hitachi, Ltd. 2017. All rights reserved. SELinuxドメインSELinuxロールSELinuxユーザ 15 unconfined_runconfined_u unconfined_t user_u user_r user_t 制限のない unconfined は使用禁止 一般ユーザ権限 root 一般ユーザ RBAC適用イメージ 制限のないunconfinedの使用禁止 rootの一般ユーザ化 ※一般ユーザもrootユーザと同様に制限 2.8 rootアカウントの一般ユーザ化
© Hitachi, Ltd. 2017. All rights reserved. SELinuxドメインSELinuxロールSELinuxユーザ 16 secadm_u SELinux管理者 (secadm_r) SELinux管理者 (secadm_t) SELinux管理者 RBAC適用イメージ SELinux管理者の専用ユーザ化 2.9 SELinux管理者の専用ユーザ化
© Hitachi, Ltd. 2017. All rights reserved. 17 運用担当者のように複数の権限を必要とする場合 ロールを切り替えて使う 複数の権限を持った独自のロールを作る SELinuxドメインSELinuxロールSELinuxユーザ 運用担当者_u web管理者 (webadm_r) web管理者 (webadm_t) 運用担当者 DB管理者 (dbadm_r) DB管理者 (dbadm_t) ログ管理者 (logadm_r) ログ管理者 (logadm_t) 必要権限に合わせて ロールを切り替え <ロール切り替えパターン> RBAC適用イメージ 運用担当者の専用ユーザ化 2.10 運用担当者の専用ユーザ化(1)
© Hitachi, Ltd. 2017. All rights reserved. SELinuxドメインSELinuxロールSELinuxユーザ 18 独自のロールを作成する場合は、対応するドメインに必要な権限を 調査しポリシーに登録する 運用担当者_u 運用担当者_r 運用担当者_t 運用担当者 <独自ロール作成パターン> SELinux ポリシー 必要な権限を抽出 ・web管理者(webadm_t) ・DB管理者(dbadm_t) ・ログ管理者(logadm_t) 運用担当者ドメイン(運用担当者_t)用に ポリシーを修正 ポリシー登録 権限の割り当てが必要 2.10 運用担当者の専用ユーザ化(2)
© Hitachi, Ltd. 2017. All rights reserved. 19 背景 RBAC機能については、今のところほとんど情報が出回っていません RBAC機能を適用した基本的なモデルも公開されていないのが現状です 元々の適用事例が少ないと推測される システム構成や業務運用内容によって構成が異なる 運用管理のキー項目になるため、企業として情報が出しにくい などの理由があります しかし、高いセキュリティを求めるシステムでは必要な機能です 2.11 RBACの課題 RBAC機能の導入を推進していくためには、RBAC機能を適用した構成の 標準化が必要です。 今回、RBAC機能を適用した構成の一例をご紹介しましたが、もっと良い 構成が考えられると思います。 松竹梅のようにセキュリティをレベル分けし、基本モデルとパーミッション の割り当て方式などを検討してみてください。 また、特権の分散を細分化する手法について研究し、基本モデルを作成して みてください。 課題
© Hitachi, Ltd. 2017. All rights reserved. 20 3.SELinuxのテスト
© Hitachi, Ltd. 2017. All rights reserved. 21 Webサーバで、デフォルトの静的コンテンツ保存場所以外に新規Webサイ ト用ディレクトリを作成した場合、SELinuxによるアクセス拒否が発生し ます。 静的コンテンツ保存場所(デフォルト) 新規Webサイト用静的コンテンツ保存場所 /(ルート) /var/www/html /website_A/html タイプ:httpd_sys_content_t タイプ:default_t Web表示 方式 内容 影響 booleanの有効化 該当するbooleanなし - タイプ変更 タイプを httpd_sys_content _t に変更 他のアプリからアクセスでき なくなる可能性あり ポリシー追加 httpd_t ドメインがアクセス 可能となるように default_t にポリシーを追加 タイプ default_t を持つディ レクトリ/ファイル全てにア クセス権が付与される 3.1 SELinuxによるアクセス拒否を回避する設定の影響 アクセス拒否を回避する設定方式とその影響
© Hitachi, Ltd. 2017. All rights reserved. 22 3.2 SELinux設定変更後のテストは必須 アクセス拒否を回避する設定を行うと 他のアプリからのアクセス不可 セキュリティの低下 といった問題が発生する可能性があります 軽微な修正でもテストが必要です
© Hitachi, Ltd. 2017. All rights reserved. 23 3.3 テストの方式と妥協点(1) 設計した内容については、検証可能 運用で発生する操作やアクセス 重要なデータがあり、守られるよう設計した部分 テストには課題があります 設計していない部分は、検証できない デフォルトで登録されているポリシーが多すぎる 時間を掛ければ全ポリシーの検証も出来そうでは あるが・・・ 検証自体が難しい項目も
© Hitachi, Ltd. 2017. All rights reserved. 24 システムテストですべての業務や運用の テストをすればOK? 違います 3.3 テストの方式と妥協点(2)
© Hitachi, Ltd. 2017. All rights reserved. 25 業務や運用で発生する操作やアクセスについては、 確認できます 3.3 テストの方式と妥協点(3) 問題は設計/テストしていない部分 アクセス拒否の回避設定の内容によっては、 セキュリティが甘くなっている場合があります 設定変更する際に見落とすと、以降、気付かない で埋もれてしまう可能性も高い OS、導入パッケージの脆弱性について、テスト できていない
© Hitachi, Ltd. 2017. All rights reserved. 26 時間を掛けてすべてのポリシーをテスト ポリシー通りに動けばOK? これも違います 3.3 テストの方式と妥協点(4)
© Hitachi, Ltd. 2017. All rights reserved. 27 アクセスが許可されているもの = セキュリティが守られているとは 限りません ポリシーにあるもの 3.3 テストの方式と妥協点(5)
© Hitachi, Ltd. 2017. All rights reserved. 28 背景 SELinuxの特性上、ポリシーに書かれていないアクセスは全て拒否となりま す。逆に言えば、ポリシーに書かれているアクセスは許可されています。 ポリシーの設定変更を行った場合、設定内容によってはセキュリティが甘く なることがありますが、結合テストやシステムテスト、運用テストでは、想 定しているリスクや必要な操作・アクセスについての確認となるため、想定 していない部分については見つけられない可能性が高いです。 3.4 SELinuxテストの課題 セキュリティが甘くなったかどうかはシステムによって違うため、検出する ことは不可能です。 そのため、OSや各種OSSで、ここだけは守らなければならないという部分 を整理し、テストする手法を研究してみてください。 また、 JVNやUS-CERTなどの脆弱性情報を収集し、SELinuxで守れるか、 守れないかテストするような手法も研究してみてください。 課題
© Hitachi, Ltd. 2017. All rights reserved. 29 3.5 まとめ 今回、取り上げさせていただいた ・RBAC機能 ・SELinuxのテスト については、企業のシステムにSELinuxを導入していくためには、 必要な情報です。 ぜひ、研究して論文公開など行ってみてください 運用やテストといった項目は、今までほとんど情報がなく、手が 出しにくかった分野です。 標準化した内容が公開されると、基本モデルとして取り入れられ、 本格的にSELinuxの導入を検討する企業も増えると思われます。 これをきっかけに企業でSELinuxの導入が進んでいくことを期待 しています
© Hitachi, Ltd. 2017. All rights reserved. 30 4.日立の取り組み
© Hitachi, Ltd. 2017. All rights reserved. 31 SELinuxをより使いやすくするための足掛かりとして、 以下のツールを近日公開予定 4.1 日立で公開予定のツール https://github.com/Hitachi/selinux-info-viewer ■SELinux Type Enforcement Lookup ドメイン(プロセス)がアクセスできるディレクトリやファイル の一覧を取得するツール ■SELinux Information Viewer SELinuxに関する情報を取得し、ブラウザで表示するツール https://github.com/Hitachi/selinux-te-lookup ツールは MIT License です、自由に使ってください 使い勝手を良くするための改変や機能追加など歓迎します
© Hitachi, Ltd. 2017. All rights reserved. 32 ドメインがアクセスできるディレクトリやファイルの一覧を取得 するツール 従来は、sesearchやsemanageコマンド、Attributeがあれば展 開するなど複雑な操作が必要であったが、コマンド1つで取得す ることが可能となります 4.2 SELinux Type Enforcement Lookup 例)ftpd_tドメインのプロセスが書き込みできるディレクトリの一覧を取得 # sudo python selinux-te-lookup.py 'ftpd_t' --perm write --class 'dir' --only-ok # cat result.csv File-Context-Pattern,File-Context-Target-Type,File-Context-Label,Matched-File-Path,File-Type,File-Label, SAME-SELinux-Type /dev/shm,directory,system_u:object_r:tmpfs_t:s0,/dev/shm,d,system_u:object_r:tmpfs_t:s0,OK /run,directory,system_u:object_r:var_run_t:s0,/run,d,system_u:object_r:var_run_t:s0,OK /run/.*,all files,system_u:object_r:var_run_t:s0,/run/netreport,d,system_u:object_r:var_run_t:s0,OK /run/.*,all files,system_u:object_r:var_run_t:s0,/run/sysconfig,d,system_u:object_r:var_run_t:s0,OK /run/.*,all files,system_u:object_r:var_run_t:s0,/run/tmpfiles.d,d,system_u:object_r:var_run_t:s0,OK :
© Hitachi, Ltd. 2017. All rights reserved. 33 SELinuxに関する情報を取得し、ブラウザで表示するツール 情報取得ツールとWeb表示用DB構成ツールは別ツールのため、本番 環境など占有できないマシンについても、ビューワで設定を参照する ことが可能 4.3 SELinux Information Viewer
© Hitachi, Ltd. 2017. All rights reserved. ■Red Hatは,米国およびその他の国でRed Hat, Inc. の登録商標 もしくは商標です。 ■Linux(R) は、米国およびその他の国における Linus Torvalds 氏 の登録商標です。 ■SELinuxは米国及びその他の国におけるNational Security Agenc yの登録商標です。 ■HITACHIは、株式会社 日立製作所の商標または登録商標です。 ■記載の会社名、製品名は、それぞれの商標もしくは登録商標です。 34 他社所有商標に関する表示
SELinuxの課題について

Recommandé

企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項Atsushi Mitsu
 
そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?Atsushi Mitsu
 
Linux デスクトップ環境のセキュリティを考えてみる
Linux デスクトップ環境のセキュリティを考えてみるLinux デスクトップ環境のセキュリティを考えてみる
Linux デスクトップ環境のセキュリティを考えてみるKenichiro MATOHARA
 
InnoDBのすゝめ(仮)
InnoDBのすゝめ(仮)InnoDBのすゝめ(仮)
InnoDBのすゝめ(仮)Takanori Sejima
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
MHA for MySQLとDeNAのオープンソースの話
MHA for MySQLとDeNAのオープンソースの話MHA for MySQLとDeNAのオープンソースの話
MHA for MySQLとDeNAのオープンソースの話Yoshinori Matsunobu
 
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮Hibino Hisashi
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話Kumazaki Hiroki
 

Recommandé

企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項Atsushi Mitsu
 
そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?Atsushi Mitsu
 
Linux デスクトップ環境のセキュリティを考えてみる
Linux デスクトップ環境のセキュリティを考えてみるLinux デスクトップ環境のセキュリティを考えてみる
Linux デスクトップ環境のセキュリティを考えてみるKenichiro MATOHARA
 
InnoDBのすゝめ(仮)
InnoDBのすゝめ(仮)InnoDBのすゝめ(仮)
InnoDBのすゝめ(仮)Takanori Sejima
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
MHA for MySQLとDeNAのオープンソースの話
MHA for MySQLとDeNAのオープンソースの話MHA for MySQLとDeNAのオープンソースの話
MHA for MySQLとDeNAのオープンソースの話Yoshinori Matsunobu
 
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮Hibino Hisashi
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話Kumazaki Hiroki
 
hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版Hiroki Ishikawa
 
Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –
Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –
Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –虎の穴 開発室
 
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Etsuji Nakai
 
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallAtsushi Tanaka
 
5.6 以前の InnoDB Flushing
5.6 以前の InnoDB Flushing5.6 以前の InnoDB Flushing
5.6 以前の InnoDB FlushingTakanori Sejima
 
エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~
エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~
エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~Daisuke Morishita
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドAkihiro Suda
 
Elasticsearchを使うときの注意点 公開用スライド
Elasticsearchを使うときの注意点 公開用スライドElasticsearchを使うときの注意点 公開用スライド
Elasticsearchを使うときの注意点 公開用スライド崇介 藤井
 
Docker Compose 徹底解説
Docker Compose 徹底解説Docker Compose 徹底解説
Docker Compose 徹底解説Masahito Zembutsu
 
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナーNGINX, Inc.
 
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」Masahito Zembutsu
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較Akihiro Suda
 
ヤフー社内でやってるMySQLチューニングセミナー大公開
ヤフー社内でやってるMySQLチューニングセミナー大公開ヤフー社内でやってるMySQLチューニングセミナー大公開
ヤフー社内でやってるMySQLチューニングセミナー大公開Yahoo!デベロッパーネットワーク
 
フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)NTT DATA Technology & Innovation
 
Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Keisuke Fujikawa
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)NTT DATA Technology & Innovation
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)NTT DATA Technology & Innovation
 
大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)NTT DATA Technology & Innovation
 
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)Kuniyasu Suzaki
 
再考、3つの仮想デスクトップイメージ管理と比較
再考、3つの仮想デスクトップイメージ管理と比較再考、3つの仮想デスクトップイメージ管理と比較
再考、3つの仮想デスクトップイメージ管理と比較Citrix Systems Japan
 
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性Hirofumi Ichihara
 
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)VirtualTech Japan Inc.
 

Contenu connexe

Tendances

hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版Hiroki Ishikawa
 
Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –
Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –
Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –虎の穴 開発室
 
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Etsuji Nakai
 
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallAtsushi Tanaka
 
5.6 以前の InnoDB Flushing
5.6 以前の InnoDB Flushing5.6 以前の InnoDB Flushing
5.6 以前の InnoDB FlushingTakanori Sejima
 
エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~
エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~
エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~Daisuke Morishita
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドAkihiro Suda
 
Elasticsearchを使うときの注意点 公開用スライド
Elasticsearchを使うときの注意点 公開用スライドElasticsearchを使うときの注意点 公開用スライド
Elasticsearchを使うときの注意点 公開用スライド崇介 藤井
 
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナーNGINX, Inc.
 
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」Masahito Zembutsu
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較Akihiro Suda
 
フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)NTT DATA Technology & Innovation
 
Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Keisuke Fujikawa
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)NTT DATA Technology & Innovation
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)NTT DATA Technology & Innovation
 
大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)NTT DATA Technology & Innovation
 
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)Kuniyasu Suzaki
 
再考、3つの仮想デスクトップイメージ管理と比較
再考、3つの仮想デスクトップイメージ管理と比較再考、3つの仮想デスクトップイメージ管理と比較
再考、3つの仮想デスクトップイメージ管理と比較Citrix Systems Japan
 

Tendances (20)

hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版
 
Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –
Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –
Supabase Edge Functions と Netlify Edge Functions を使ってみる – 機能とその比較 –
 
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
 
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
 
5.6 以前の InnoDB Flushing
5.6 以前の InnoDB Flushing5.6 以前の InnoDB Flushing
5.6 以前の InnoDB Flushing
 
エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~
エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~
エンジニアのためのOSSライセンス管理~OSS管理ツールの池の水全部抜く~
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
 
Elasticsearchを使うときの注意点 公開用スライド
Elasticsearchを使うときの注意点 公開用スライドElasticsearchを使うときの注意点 公開用スライド
Elasticsearchを使うときの注意点 公開用スライド
 
Docker Compose 徹底解説
Docker Compose 徹底解説Docker Compose 徹底解説
Docker Compose 徹底解説
 
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
 
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較
 
ヤフー社内でやってるMySQLチューニングセミナー大公開
ヤフー社内でやってるMySQLチューニングセミナー大公開ヤフー社内でやってるMySQLチューニングセミナー大公開
ヤフー社内でやってるMySQLチューニングセミナー大公開
 
フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
フックを使ったPostgreSQLの拡張機能を作ってみよう!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
 
Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
 
大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
大規模データ活用向けストレージレイヤソフトのこれまでとこれから(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
 
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
 
再考、3つの仮想デスクトップイメージ管理と比較
再考、3つの仮想デスクトップイメージ管理と比較再考、3つの仮想デスクトップイメージ管理と比較
再考、3つの仮想デスクトップイメージ管理と比較
 

Similaire à SELinuxの課題について

OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性Hirofumi Ichihara
 
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)VirtualTech Japan Inc.
 
Openstack ceph 20171115 vtj
Openstack ceph 20171115 vtjOpenstack ceph 20171115 vtj
Openstack ceph 20171115 vtjTakehiro Kudou
 
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライドEMC Japan
 
Windows Server 2016上でLinuxコンテナが動いた!
Windows Server 2016上でLinuxコンテナが動いた!Windows Server 2016上でLinuxコンテナが動いた!
Windows Server 2016上でLinuxコンテナが動いた!Takashi Kanai
 
Open Shift v3 主要機能と内部構造のご紹介
Open Shift v3 主要機能と内部構造のご紹介Open Shift v3 主要機能と内部構造のご紹介
Open Shift v3 主要機能と内部構造のご紹介Etsuji Nakai
 
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)Shinya Sugiyama
 
Hinemos ver.6.0 クラウド・仮想化環境の運用管理
Hinemos ver.6.0 クラウド・仮想化環境の運用管理Hinemos ver.6.0 クラウド・仮想化環境の運用管理
Hinemos ver.6.0 クラウド・仮想化環境の運用管理Hinemos
 
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?Kuniyasu Suzaki
 
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月VirtualTech Japan Inc.
 
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうか
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうかWebアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうか
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうかChihiro Ito
 
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組みRecruit Technologies
 
20170804 IOS/IOS-XE運用管理機能アップデート
20170804 IOS/IOS-XE運用管理機能アップデート20170804 IOS/IOS-XE運用管理機能アップデート
20170804 IOS/IOS-XE運用管理機能アップデートKazumasa Ikuta
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Takashi Matsunaga
 
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーションNTT Software Innovation Center
 

Similaire à SELinuxの課題について (20)

OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
 
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
 
Openstack ceph 20171115 vtj
Openstack ceph 20171115 vtjOpenstack ceph 20171115 vtj
Openstack ceph 20171115 vtj
 
第24回「IBM STGエバンジェリスト座談会 2013年のインフラエンジニアの生き方」(2013/01/17 on しすなま!)
第24回「IBM STGエバンジェリスト座談会 2013年のインフラエンジニアの生き方」(2013/01/17 on しすなま!)第24回「IBM STGエバンジェリスト座談会 2013年のインフラエンジニアの生き方」(2013/01/17 on しすなま!)
第24回「IBM STGエバンジェリスト座談会 2013年のインフラエンジニアの生き方」(2013/01/17 on しすなま!)
 
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド
2015.6.5 EMC主催OpenStackセミナー - EMC講演スライド
 
Windows Server 2016上でLinuxコンテナが動いた!
Windows Server 2016上でLinuxコンテナが動いた!Windows Server 2016上でLinuxコンテナが動いた!
Windows Server 2016上でLinuxコンテナが動いた!
 
Open Shift v3 主要機能と内部構造のご紹介
Open Shift v3 主要機能と内部構造のご紹介Open Shift v3 主要機能と内部構造のご紹介
Open Shift v3 主要機能と内部構造のご紹介
 
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
 
OSS光と闇
OSS光と闇OSS光と闇
OSS光と闇
 
Hinemos ver.6.0 クラウド・仮想化環境の運用管理
Hinemos ver.6.0 クラウド・仮想化環境の運用管理Hinemos ver.6.0 クラウド・仮想化環境の運用管理
Hinemos ver.6.0 クラウド・仮想化環境の運用管理
 
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
 
Try IoT with Node-RED
Try IoT with Node-REDTry IoT with Node-RED
Try IoT with Node-RED
 
Monitoring あれこれ
Monitoring あれこれMonitoring あれこれ
Monitoring あれこれ
 
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
 
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうか
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうかWebアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうか
Webアプリに低レイテンシ・高可用性を求めるのは間違っているのだろうか
 
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み
[関東Firefox OS 勉強会10th 講演資料] リクルートにおけるFirefox osアプリへの取り組み
 
20170804 IOS/IOS-XE運用管理機能アップデート
20170804 IOS/IOS-XE運用管理機能アップデート20170804 IOS/IOS-XE運用管理機能アップデート
20170804 IOS/IOS-XE運用管理機能アップデート
 
IOS/IOS-XE 運用管理機能アップデート
IOS/IOS-XE 運用管理機能アップデートIOS/IOS-XE 運用管理機能アップデート
IOS/IOS-XE 運用管理機能アップデート
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
 
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション
次世代の高速メモリストレージ利用に向けたソフトウェアのモダナイゼーション
 

Dernier

Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスCRI Japan, Inc.
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video UnderstandingToru Tamaki
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...Toru Tamaki
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルCRI Japan, Inc.
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptxsn679259
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsWSO2
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Gamesatsushi061452
 

Dernier (10)

Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 

SELinuxの課題について

  • 1. © Hitachi, Ltd. 2017. All rights reserved. CSS 2017 企画セッション オープンソースソフトウェア(OSS)のセキュリティ技術について 2017/10/25 株式会社 日立製作所 OSSソリューションセンタ 飯島正人 最新のLinuxセキュリティ技術の動向・課題 Part2: SELinuxの課題について
  • 2. © Hitachi, Ltd. 2017. All rights reserved. 1 本日の内容 1.SELinuxの現状と課題 2.RBAC機能 3.SELinuxのテスト 4.日立の取り組み
  • 3. © Hitachi, Ltd. 2017. All rights reserved. 2 1.SELinuxの現状と課題
  • 4. © Hitachi, Ltd. 2017. All rights reserved. 3 ・最近の脆弱性多発に対応する手段として再注目 ・IoT、コンテナ技術のセキュリティ問題で再注目 1.SELinuxの現状と課題 ・Technology radar (https://www.thoughtworks.com/radar) Platforms に急に登場。「ADOPT(推奨できるレベル)」 ・OSSセキュリティ技術の会のイベント 2017年5月16日に「OSSセキュリティ技術の会」主催の第一回勉強会 「闘将(たたかえ)!! SELinuxの巻」を開催。 19時スタートにも関わらず、140名近い参加者! 参照URL https://thinkit.co.jp/article/11947 ・連載:IoT時代の最新SELinux入門(日経BP社) 著者:中村雄一、面 和毅 協力:OSSセキュリティ技術の会 参照URL http://itpro.nikkeibp.co.jp/atcl/column/17/041900153/
  • 5. © Hitachi, Ltd. 2017. All rights reserved. 4 再注目されているはずなのに 企業システムに導入した事例は聞かない 導入は進んでいるのか? 1.SELinuxの現状と課題
  • 6. © Hitachi, Ltd. 2017. All rights reserved. 5 1.SELinuxの現状と課題 本番環境への導入はしていないが、 検証されている方はいます 本番環境への導入を検討中の お客様もいます
  • 7. © Hitachi, Ltd. 2017. All rights reserved. 6 1.SELinuxの現状と課題 導入が進まない理由として、 企業システムへSELinuxを適用させる ための情報不足が挙げられます 今回は、情報量の少ない下記について 考察していきます RBAC機能 SELinuxのテスト
  • 8. © Hitachi, Ltd. 2017. All rights reserved. 7 2.RBAC機能
  • 9. © Hitachi, Ltd. 2017. All rights reserved. 8 SELinuxを「有効」にすれば、TE(TypeEnforce ment)によりプロセスには制限が掛かります 2.1 SELinuxを導入した環境(現状) ポリシーにない アクセスは拒否 感染/潜伏(環境調査)/拡散 踏み台にしての攻撃 攻撃者 ユーザ サーバ ユーザ ユーザ 攻撃/不正侵入されても被害を限定化 SELinux 「有効」 ほとんどの場合、ここで終わってます
  • 10. © Hitachi, Ltd. 2017. All rights reserved. 9 じつは・・・ rootアカウントは、SELinuxの制限を ほぼ受けないunconfined_tドメインで 動作しています rootアカウントのSELinuxコンテキスト # id -Z unconfined_u:unconfined_r:unconfined_t 2.2 rootアカウントは制限を受けない (SELinuxユーザ) (ロール) (ドメイン)
  • 11. © Hitachi, Ltd. 2017. All rights reserved. 10 ログイン名 SELinuxユーザ MLS/MCS 範囲 サービス __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * LinuxユーザとSELinuxユーザのマッピング設定(デフォルト設定) SELinuxユーザ X Window ログイン suまたはsudo の実行 $HOMEおよび /tmpでのアプリ ケーション実行 ネットワークへの アクセス sysadm_u 可 su、sudo 可 可 staff_u 可 sudoのみ 可 可 user_u 可 不可 可 可 guest_u 不可 不可 不可 不可 xguest_u 可 不可 不可 Firefoxのみ unconfined_u 制限なし 制限なし 制限なし 制限なし SELinuxユーザの権限 2.3 SELinuxユーザ設定(デフォルト)
  • 12. © Hitachi, Ltd. 2017. All rights reserved. 11 何でもできる rootアカウントを奪われると SELinuxを無効化することも可能 = すべてのシステムで必要ではありませんが、 高いセキュリティが求められるシステムでは 何らかの回避策が必要 ※一般ユーザはアカウントを奪われても通常のパーミッションチェックで制限されるため、 基本的には何もできない 2.4 rootアカウントを奪われると何でもできる
  • 13. © Hitachi, Ltd. 2017. All rights reserved. 12 回避するには 制限の掛からない unconfined_u は使用しない rootユーザで、SELinuxの制御をできないようにする 2.5 回避策の検討 役割(ロール)に応じたアクセス権の付与ができる機能 rootユーザに対しても操作可能な範囲を制限できる 運用管理向けのロールがデフォルトで準備されている RBACとは RBAC(Role Based Access Control)機能を利用する ことで実現できます
  • 14. © Hitachi, Ltd. 2017. All rights reserved. 13 運用管理向けのロール 役割 ロール名 説明 Web管理者 webadm_r Apache HTTPサーバに関連するSELinuxタイプの管理のみ可能 DB管理者 dbadm_r MariaDBデータベースおよびPostgreSQLデータベース管理システ ムに関連するSELinuxタイプの管理のみ可能 ログ管理者 logadm_r syslogおよびauditlogプロセスに関連するSELinuxタイプの管理の み可能 SELinux管理者 secadm_r SELinuxの管理のみ可能 監査システム 管理者 auditadm_r auditサブシステムに関連するプロセスの管理のみ可能 SELinuxの仕様で、同時に有効となるロールは1つ Linux ユーザ SELinux ユーザ Web管理者 ロール DB管理者 ロール 有効になるのは どちらか1つWebサーバの管理を行う時と DBサーバの管理を行う時で ロールを切り替える必要がある 2.6 RBAC機能 Webサーバ DBサーバ
  • 15. © Hitachi, Ltd. 2017. All rights reserved. 14 RBAC機能を利用した構成を考えました 制限の掛からない unconfined は使用禁止 攻撃者に狙われやすいrootは一般ユーザ化 特権を分散し、アカウントを奪われた場合の 影響を限定化 SELinuxの管理は専用ユーザで実施 運用に必要な権限も専用ユーザに付与 2.7 RBAC機能を利用して回避 観点
  • 16. © Hitachi, Ltd. 2017. All rights reserved. SELinuxドメインSELinuxロールSELinuxユーザ 15 unconfined_runconfined_u unconfined_t user_u user_r user_t 制限のない unconfined は使用禁止 一般ユーザ権限 root 一般ユーザ RBAC適用イメージ 制限のないunconfinedの使用禁止 rootの一般ユーザ化 ※一般ユーザもrootユーザと同様に制限 2.8 rootアカウントの一般ユーザ化
  • 17. © Hitachi, Ltd. 2017. All rights reserved. SELinuxドメインSELinuxロールSELinuxユーザ 16 secadm_u SELinux管理者 (secadm_r) SELinux管理者 (secadm_t) SELinux管理者 RBAC適用イメージ SELinux管理者の専用ユーザ化 2.9 SELinux管理者の専用ユーザ化
  • 18. © Hitachi, Ltd. 2017. All rights reserved. 17 運用担当者のように複数の権限を必要とする場合 ロールを切り替えて使う 複数の権限を持った独自のロールを作る SELinuxドメインSELinuxロールSELinuxユーザ 運用担当者_u web管理者 (webadm_r) web管理者 (webadm_t) 運用担当者 DB管理者 (dbadm_r) DB管理者 (dbadm_t) ログ管理者 (logadm_r) ログ管理者 (logadm_t) 必要権限に合わせて ロールを切り替え <ロール切り替えパターン> RBAC適用イメージ 運用担当者の専用ユーザ化 2.10 運用担当者の専用ユーザ化(1)
  • 19. © Hitachi, Ltd. 2017. All rights reserved. SELinuxドメインSELinuxロールSELinuxユーザ 18 独自のロールを作成する場合は、対応するドメインに必要な権限を 調査しポリシーに登録する 運用担当者_u 運用担当者_r 運用担当者_t 運用担当者 <独自ロール作成パターン> SELinux ポリシー 必要な権限を抽出 ・web管理者(webadm_t) ・DB管理者(dbadm_t) ・ログ管理者(logadm_t) 運用担当者ドメイン(運用担当者_t)用に ポリシーを修正 ポリシー登録 権限の割り当てが必要 2.10 運用担当者の専用ユーザ化(2)
  • 20. © Hitachi, Ltd. 2017. All rights reserved. 19 背景 RBAC機能については、今のところほとんど情報が出回っていません RBAC機能を適用した基本的なモデルも公開されていないのが現状です 元々の適用事例が少ないと推測される システム構成や業務運用内容によって構成が異なる 運用管理のキー項目になるため、企業として情報が出しにくい などの理由があります しかし、高いセキュリティを求めるシステムでは必要な機能です 2.11 RBACの課題 RBAC機能の導入を推進していくためには、RBAC機能を適用した構成の 標準化が必要です。 今回、RBAC機能を適用した構成の一例をご紹介しましたが、もっと良い 構成が考えられると思います。 松竹梅のようにセキュリティをレベル分けし、基本モデルとパーミッション の割り当て方式などを検討してみてください。 また、特権の分散を細分化する手法について研究し、基本モデルを作成して みてください。 課題
  • 21. © Hitachi, Ltd. 2017. All rights reserved. 20 3.SELinuxのテスト
  • 22. © Hitachi, Ltd. 2017. All rights reserved. 21 Webサーバで、デフォルトの静的コンテンツ保存場所以外に新規Webサイ ト用ディレクトリを作成した場合、SELinuxによるアクセス拒否が発生し ます。 静的コンテンツ保存場所(デフォルト) 新規Webサイト用静的コンテンツ保存場所 /(ルート) /var/www/html /website_A/html タイプ:httpd_sys_content_t タイプ:default_t Web表示 方式 内容 影響 booleanの有効化 該当するbooleanなし - タイプ変更 タイプを httpd_sys_content _t に変更 他のアプリからアクセスでき なくなる可能性あり ポリシー追加 httpd_t ドメインがアクセス 可能となるように default_t にポリシーを追加 タイプ default_t を持つディ レクトリ/ファイル全てにア クセス権が付与される 3.1 SELinuxによるアクセス拒否を回避する設定の影響 アクセス拒否を回避する設定方式とその影響
  • 23. © Hitachi, Ltd. 2017. All rights reserved. 22 3.2 SELinux設定変更後のテストは必須 アクセス拒否を回避する設定を行うと 他のアプリからのアクセス不可 セキュリティの低下 といった問題が発生する可能性があります 軽微な修正でもテストが必要です
  • 24. © Hitachi, Ltd. 2017. All rights reserved. 23 3.3 テストの方式と妥協点(1) 設計した内容については、検証可能 運用で発生する操作やアクセス 重要なデータがあり、守られるよう設計した部分 テストには課題があります 設計していない部分は、検証できない デフォルトで登録されているポリシーが多すぎる 時間を掛ければ全ポリシーの検証も出来そうでは あるが・・・ 検証自体が難しい項目も
  • 25. © Hitachi, Ltd. 2017. All rights reserved. 24 システムテストですべての業務や運用の テストをすればOK? 違います 3.3 テストの方式と妥協点(2)
  • 26. © Hitachi, Ltd. 2017. All rights reserved. 25 業務や運用で発生する操作やアクセスについては、 確認できます 3.3 テストの方式と妥協点(3) 問題は設計/テストしていない部分 アクセス拒否の回避設定の内容によっては、 セキュリティが甘くなっている場合があります 設定変更する際に見落とすと、以降、気付かない で埋もれてしまう可能性も高い OS、導入パッケージの脆弱性について、テスト できていない
  • 27. © Hitachi, Ltd. 2017. All rights reserved. 26 時間を掛けてすべてのポリシーをテスト ポリシー通りに動けばOK? これも違います 3.3 テストの方式と妥協点(4)
  • 28. © Hitachi, Ltd. 2017. All rights reserved. 27 アクセスが許可されているもの = セキュリティが守られているとは 限りません ポリシーにあるもの 3.3 テストの方式と妥協点(5)
  • 29. © Hitachi, Ltd. 2017. All rights reserved. 28 背景 SELinuxの特性上、ポリシーに書かれていないアクセスは全て拒否となりま す。逆に言えば、ポリシーに書かれているアクセスは許可されています。 ポリシーの設定変更を行った場合、設定内容によってはセキュリティが甘く なることがありますが、結合テストやシステムテスト、運用テストでは、想 定しているリスクや必要な操作・アクセスについての確認となるため、想定 していない部分については見つけられない可能性が高いです。 3.4 SELinuxテストの課題 セキュリティが甘くなったかどうかはシステムによって違うため、検出する ことは不可能です。 そのため、OSや各種OSSで、ここだけは守らなければならないという部分 を整理し、テストする手法を研究してみてください。 また、 JVNやUS-CERTなどの脆弱性情報を収集し、SELinuxで守れるか、 守れないかテストするような手法も研究してみてください。 課題
  • 30. © Hitachi, Ltd. 2017. All rights reserved. 29 3.5 まとめ 今回、取り上げさせていただいた ・RBAC機能 ・SELinuxのテスト については、企業のシステムにSELinuxを導入していくためには、 必要な情報です。 ぜひ、研究して論文公開など行ってみてください 運用やテストといった項目は、今までほとんど情報がなく、手が 出しにくかった分野です。 標準化した内容が公開されると、基本モデルとして取り入れられ、 本格的にSELinuxの導入を検討する企業も増えると思われます。 これをきっかけに企業でSELinuxの導入が進んでいくことを期待 しています
  • 31. © Hitachi, Ltd. 2017. All rights reserved. 30 4.日立の取り組み
  • 32. © Hitachi, Ltd. 2017. All rights reserved. 31 SELinuxをより使いやすくするための足掛かりとして、 以下のツールを近日公開予定 4.1 日立で公開予定のツール https://github.com/Hitachi/selinux-info-viewer ■SELinux Type Enforcement Lookup ドメイン(プロセス)がアクセスできるディレクトリやファイル の一覧を取得するツール ■SELinux Information Viewer SELinuxに関する情報を取得し、ブラウザで表示するツール https://github.com/Hitachi/selinux-te-lookup ツールは MIT License です、自由に使ってください 使い勝手を良くするための改変や機能追加など歓迎します
  • 33. © Hitachi, Ltd. 2017. All rights reserved. 32 ドメインがアクセスできるディレクトリやファイルの一覧を取得 するツール 従来は、sesearchやsemanageコマンド、Attributeがあれば展 開するなど複雑な操作が必要であったが、コマンド1つで取得す ることが可能となります 4.2 SELinux Type Enforcement Lookup 例)ftpd_tドメインのプロセスが書き込みできるディレクトリの一覧を取得 # sudo python selinux-te-lookup.py 'ftpd_t' --perm write --class 'dir' --only-ok # cat result.csv File-Context-Pattern,File-Context-Target-Type,File-Context-Label,Matched-File-Path,File-Type,File-Label, SAME-SELinux-Type /dev/shm,directory,system_u:object_r:tmpfs_t:s0,/dev/shm,d,system_u:object_r:tmpfs_t:s0,OK /run,directory,system_u:object_r:var_run_t:s0,/run,d,system_u:object_r:var_run_t:s0,OK /run/.*,all files,system_u:object_r:var_run_t:s0,/run/netreport,d,system_u:object_r:var_run_t:s0,OK /run/.*,all files,system_u:object_r:var_run_t:s0,/run/sysconfig,d,system_u:object_r:var_run_t:s0,OK /run/.*,all files,system_u:object_r:var_run_t:s0,/run/tmpfiles.d,d,system_u:object_r:var_run_t:s0,OK :
  • 34. © Hitachi, Ltd. 2017. All rights reserved. 33 SELinuxに関する情報を取得し、ブラウザで表示するツール 情報取得ツールとWeb表示用DB構成ツールは別ツールのため、本番 環境など占有できないマシンについても、ビューワで設定を参照する ことが可能 4.3 SELinux Information Viewer
  • 35. © Hitachi, Ltd. 2017. All rights reserved. ■Red Hatは,米国およびその他の国でRed Hat, Inc. の登録商標 もしくは商標です。 ■Linux(R) は、米国およびその他の国における Linus Torvalds 氏 の登録商標です。 ■SELinuxは米国及びその他の国におけるNational Security Agenc yの登録商標です。 ■HITACHIは、株式会社 日立製作所の商標または登録商標です。 ■記載の会社名、製品名は、それぞれの商標もしくは登録商標です。 34 他社所有商標に関する表示