321.4 その他の強制アクセス制御システム
321.4 その他の強制アクセス制御システム
重要度 2
説明 Linuxの他の強制アクセス制御システムに精通していること。これらのシステムの主な機能が範囲に含まれるが、その設定や使用方法は含まれない。
主要な知識範囲
- SMACK
- AppArmor
重要なファイル、用語、ユーティリティ
- SMACK
- AppArmor
SMACK
SMACK(Simplified Mandatory Access Control Kernel)は、強制アクセス制御を簡単に実装するために作成されたセキュリティモジュールです。
SELinux と同じく SMACK は、プロセス、ファイル、その他のシステム オブジェクトにラベルを付け、ラベルの組み合わせによってどのような種類のアクセスが許可されるかを規定したルールを実行します。SELinux と異なるのは、SMACK のほうが管理しやすく設計されている点です。
AppArmor
AppArmor は、Novell によって取得され、オープン ソース化された強制アクセス制御メカニズムです。SUSE Linuxで採用されています
SELinux と同様、AppArmor も、プログラムにはあらゆるセキュリティの穴が存在するという考えでプログラムの動きを制御します。
ただし AppArmor が SELinux と異なっているのは、より小さな脅威の可能性に対応する点と、管理方法を非常に単純化しようとしている点です。
- SELinuxと比較して設定しやすい
- アプリケーションごとにプロファイルというセキュリティポリシーを利用してアクセス権の設定が可能である
- 「enforce」というアクセス制御がONになっている状態と「complain」というアクセス制御がOFFにしてアクセス記録を取得する2つのモードがある
- AppArmorは主にアプリケーションのファイルアクセスを制御するが、SELinuxはプロセス・ユーザーをはじめとして、AppArmorより広い範囲を制御できる