JP2009020782A - セキュアosのセキュリティポリシの最適化方法及びプログラム - Google Patents
セキュアosのセキュリティポリシの最適化方法及びプログラム Download PDFInfo
- Publication number
- JP2009020782A JP2009020782A JP2007184004A JP2007184004A JP2009020782A JP 2009020782 A JP2009020782 A JP 2009020782A JP 2007184004 A JP2007184004 A JP 2007184004A JP 2007184004 A JP2007184004 A JP 2007184004A JP 2009020782 A JP2009020782 A JP 2009020782A
- Authority
- JP
- Japan
- Prior art keywords
- security policy
- general
- label
- setting
- unnecessary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【解決手段】 汎用セキュリティポリシの中からユーザにとって不要なパーミッションの選択入力を受付け、選択入力されたパーミッションに関するセキュアOSのアクセスチェックを無効化し、かつ当該パーミッションが含まれる設定を汎用セキュリティポリシの中から削除する第1のステップと、汎用セキュリティポリシ中に含まれるドメインとプログラムの関連付け設定を参照し、移植先装置において使用していない不要なドメインに関する設定を汎用セキュリティポリシの中から削除する第2のステップと、汎用セキュリティポリシ中に含まれるラベルとリソースの関連付け設定を参照し、移植先装置に存在しないリソースに対するラベルを不要なラベルとして抽出し、前記汎用セキュリティポリシの中から当該不要なラベルに関する設定を削除する第3のステップとを備える。
【選択図】 図9
Description
プロセス毎にどんな権限を持つかという設定はセキュリティポリシファイルというファイルに記載されている。この機能により、プロセスが必要なリソースにだけアクセスすることがOSによって保証され、プロセスにセキュリティホールがあり、攻撃者にプロセスが乗っ取られたとしても、その被害を最小限にすることができる。
アクセス制御の設定は、セキュリティポリシと呼ばれる。セキュリティポリシは、ドメインとプログラムの関連づけ、ラベルとリソースの対応付けおよびドメインがどんなラベルにアクセスできるかのアクセス許可設定から成り立つ。
セキュアOS上で、アプリケーションを動作させるには、このセキュリティポリシを設定する必要がある。アクセス許可設定を行わないと、アクセスが拒否され、アプリケーションが動作しないからである。
このような機能を備えたセキュアOSとしては、SELinux(Security Enhanced Linux)が代表的なものの一つである。
特許文献1の技術は、アプリケーションのソースコードもしくはモデリング図を用いてセキュリティポリシを生成するものである。
特許文献2は、プロセスのアクセス履歴からセキュリティポリシを生成するものである。
そこで、設定の手間を省くため、セキュアOSの開発元が汎用セキュリティポリシを用意し、セキュアOSと共に配布し、ユーザはそれをカスタマイズして使うことが多い。
ただし、組込み機器のようなデバイスは、搭載する記憶装置、補助記憶装置の容量が小さく、汎用セキュリティポリシはサイズが大きすぎることがある。
こういったデバイスにセキュアOSを移植する場合、汎用セキュリティポリシのサイズを小さくするチューニングが必要になってくる。
特許文献1及び特許文献2の技術にあっては、セキュリティポリシの設定を一から記述するものであり、汎用セキュリティポリシの流用は考慮されていない。
前記汎用セキュリティポリシ中に含まれるドメインとプログラムの関連付け設定を参照し、移植先装置において使用していない不要なドメインに関する設定を汎用セキュリティポリシの中から削除する第2のステップと、
前記汎用セキュリティポリシ中に含まれるラベルとリソースの関連付け設定を参照し、移植先装置に存在しないリソースに対するラベルを不要なラベルとして抽出し、前記汎用セキュリティポリシの中から当該不要なラベルに関する設定を削除する第3のステップとをコンピュータに実行させることを特徴とする。
図1は、本発明に係る汎用セキュリティポリシの最適化方法を実施するコンピュータの実施形態を示す機能構成図である。
コンピュータ110が汎用セキュリティポリシを最適化して移植する移植先のコンピュータである。
コンピュータ110にはセキュアOS111が搭載されている。
セキュアOS111は、最適化後キュリティポリシファイル114に記載されたルールを基にアクセス制御を行う。最適化プログラム112は、汎用セキュリティポリシファイル113のサイズを最適化する機能を有するプログラムである。
汎用セキュリティポリシファイル113は、多くのマシンで使える汎用的なセキュリティポリシの設定が記述されている。
最適化プログラム112は、汎用セキュリティポリシファイル113を入力として、移植先のコンピュータ110の機能に応じてサイズが最適化された最適化後ポリシファイル114を出力する。
セキュアOS111は、アクセス制御機能211を備える。
アクセス制御機能211では、プロセスにドメインを、ファイルなどのリソースにラベルを付与し、「ドメインがどんなラベルにどのようなパーミッションのアクセスができるか」というアクセス制御を行う。
アクセス制御は、プロセスがリソースにアクセスするOSにおけるシステムコールの内部のパーミッションチェックとして行われている。
アクセス制御設定は、最適化後セキュリティポリシファイル114に格納されている。
パーミッションチェックスキップ機能220は、アクセス制御機能211における特定の種別のパーミッションチェックをスキップさせることができる機能である。例えば、ネットワークリソースを利用する際のパーミッションチェックをスキップさせることができる。
パーミッションチェックスキップ機能220は、OS内部にパラメータを埋め込んだり、OSのソースを書き換えてOSをコンパイルし直すなどすることにより実現できる。
ドメイン付与設定ファイル241には、コンピュータ110で使用するプログラムにどんなドメインを付与するかが列310,320に設定してある。ドメインは、プロセスに付与される識別子である。例えば行531は、/usr/sbin/httpdというプログラムの実行ファイルを実行すると、そのプロセスはhttpd_tというドメインが付与されることを意味する。
ラベル付与設定ファイル242には、リソース名410に、ファイル名などリソース名を列挙する。ラベル420に、列挙されたリソース名に対して、どんなラベルを付与するかを記述する。
例えば、行431は、/etcディレクトリ以下にetc_tという名前のラベルを付与することを意味する。ファイル以外のリソースの指定も可能である。
行435は、TCP 80番ポートにhttp_port_tというラベルを付与している。
アクセス制御設定ファイル243には、ドメイン510、ラベル520、操作530の組を指定して設定する。
ドメイン510は、プロセスに付与される識別子である。ラベル520は、リソース(ファイルやネットワークなど、プロセスがアクセスする対象のこと)に付与される識別子である。
操作530は、ドメインがラベルにどんな操作ができるかを表す。例えば1行目は、httpd_tドメインはhomepage_tというラベルが付与されたリソースに対して、file:read(ファイル読み込み)操作ができる、という設定をしている。なお、このファイルに明示的に記述されていない場合のアクセスは全て不可になる。
図7は、最適化後ラベル付与設定ファイル252の構成を示した図である。意味はラベル付与設定ファイル242と同じである。
図8は、最適化後アクセス制御設定ファイル253の構成を示した図である。意味は、アクセス制御設定ファイル243と同じである。
まず、ステップ910,920,930にて、パーミッション最適化機能231、ドメイン最適化機能232、ラベル最適化機能233が実行される。以下の図10、11、12を参照し、図3〜図5の汎用ポリシファイルがどのように最適化されるかの例と共に説明する。
まず、ステップ1010において、ユーザは、不要なパーミッションを選択入力する。
不要なパーミッションを選択入力する方法としては、汎用セキュリティポリシを読み込み、それをディスプレイに表示し、その中から不要なパーミッションを選択するようにしてもよいし、ユーザが不要なパーミッションを直接入力するようにしてもよい。
ここでは、ユーザが不要パーミッションとして、例えば「tcp:bind(TCPソケットを使ってネットワーク接続を待ち受けるパーミッション)」を入力したものと仮定して以下の説明を進める。
次に、ステップ1030において、アクセス制御設定ファイル243より、ステップ1010で入力されたパーミッションを許可している設定を削除する。ここでは、不要パーミッションとしてtcp:bindを入力したので、図5の行537の設定を削除する。
まず、ステップ1110において、削除候補になるドメインを抽出する。
ドメイン付与設定ファイル241のプログラム320のうち、システムに存在しないものを削除候補ドメインとする。今回は例えば、2行目の/sbin/sqldが存在しないと仮定する。存在しないプログラムに対するドメイン設定は本来不要なものであるため、ドメインdbms_tが削除候補となる。
次に、ステップ1120において、ステップ1110で得られた削除候補ドメインについて、ステップ1130,1140を繰り返す。
ステップ1130では、アクセス制御設定ファイル243のラベル520のうち、削除候補ドメインからしかアクセスされていないものは、削除候補ドメインを削除すると同時に不要なラベルとなるため、これを、削除候補ラベルとして記憶する。今回の場合、行534の「database_t」は、dbms_tからしかアクセスされていないため、削除候補となる。
そして、削除候補ラベルを含んだ設定は、不要な設定となるため、アクセス制御設定ファイル243およびラベル付与設定ファイル242より削除する。今回の場合、行534及び行434が削除される。
次に、ステップ1140において、削除候補ドメインを含んだ設定を、アクセス制御設定ファイル243より削除する。今回は、行534、行535が消去される。
まず、ステップ1210において、ラベル付与設定ファイル242の中から削除候補ラベルを抽出する。ラベル付与設定ファイル242のリソース名410がシステムに存在しない場合、それに対するラベル付けは不要であるため、削除候補とできる。今回、/optディレクトリが存在しないコンピュータ上で動かしていると仮定する。すると、行432の「opt_t」は削除候補ラベルとなる。
次に、ステップ1220において、ステップ1210で得た削除候補ラベルについて、以下の処理を実行する。
すなわち、ステップ1230において、除去候補ラベルを含んだ設定を、ラベル付与設定ファイル242およびアクセス制御設定ファイル243より削除する。今回の例では、行432および533が削除される。
ここまでの処理の結果を、最適化後ポリシファイル114として出力する。結果得られたものが、図6,7,8である。削除した設定は空白としてある。
図6、7、8のように、本発明により、設定の量を減らすことができている。また、ステップ920でパーミッションチェックがスキップされているため、システムの速度が速くなるという副次的な効果も期待できる。
111 セキュアOS
112 最適化プログラム
113 汎用セキュリティポリシファイル
114 最適化後ポリシファイル
231 パーミッション最適化機能
232 ドメイン最適化機能
233 ラベル最適化機能
Claims (2)
- 汎用セキュリティポリシを利用して移植先装置で用いるセキュアOSのセキュリティポリシを最適化する方法であって、
前記移植先装置に実装した最適化手段により、
汎用セキュリティポリシを汎用セキュリティポリシファイルから読込み、読み込んだ汎用セキュリティポリシの中からユーザにとって不要なパーミッションの選択入力を受付け、選択入力されたパーミッションに関するセキュアOSのアクセスチェックを無効化し、かつ当該パーミッションが含まれる設定を汎用セキュリティポリシの中から削除する第1のステップと、
前記汎用セキュリティポリシ中に含まれるドメインとプログラムの関連付け設定を参照し、移植先装置において使用していない不要なドメインに関する設定を汎用セキュリティポリシの中から削除する第2のステップと、
前記汎用セキュリティポリシ中に含まれるラベルとリソースの関連付け設定を参照し、移植先装置に存在しないリソースに対するラベルを不要なラベルとして抽出し、前記汎用セキュリティポリシの中から当該不要なラベルに関する設定を削除する第3のステップとを備えることを特徴とするセキュアOSのセキュリティポリシの最適化方法。 - 汎用セキュリティポリシを利用して移植先装置で用いるセキュアOSのセキュリティポリシを最適化するプログラムであって、
前記移植先装置に実装され、
汎用セキュリティポリシを汎用セキュリティポリシファイルから読込み、読み込んだ汎用セキュリティポリシの中からユーザにとって不要なパーミッションの選択入力を受付け、選択入力されたパーミッションに関するセキュアOSのアクセスチェックを無効化し、かつ当該パーミッションが含まれる設定を汎用セキュリティポリシの中から削除する第1のステップと、
前記汎用セキュリティポリシ中に含まれるドメインとプログラムの関連付け設定を参照し、移植先装置において使用していない不要なドメインに関する設定を汎用セキュリティポリシの中から削除する第2のステップと、
前記汎用セキュリティポリシ中に含まれるラベルとリソースの関連付け設定を参照し、移植先装置に存在しないリソースに対するラベルを不要なラベルとして抽出し、前記汎用セキュリティポリシの中から当該不要なラベルに関する設定を削除する第3のステップとをコンピュータに実行させることを特徴とするセキュアOSのセキュリティポリシの最適化プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007184004A JP4949147B2 (ja) | 2007-07-13 | 2007-07-13 | セキュアosのセキュリティポリシの最適化方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007184004A JP4949147B2 (ja) | 2007-07-13 | 2007-07-13 | セキュアosのセキュリティポリシの最適化方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009020782A true JP2009020782A (ja) | 2009-01-29 |
JP4949147B2 JP4949147B2 (ja) | 2012-06-06 |
Family
ID=40360358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007184004A Expired - Fee Related JP4949147B2 (ja) | 2007-07-13 | 2007-07-13 | セキュアosのセキュリティポリシの最適化方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4949147B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114389897A (zh) * | 2022-03-18 | 2022-04-22 | 苏州市卫生计生统计信息中心 | It基础设施安全策略集中管控优化方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005063224A (ja) * | 2003-08-15 | 2005-03-10 | Nippon Telegr & Teleph Corp <Ntt> | セキュアosのセキュリティポリシを自動的に生成する方法及び装置並びに該方法を実行するためのプログラム |
JP2005209070A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 配信サーバおよびセキュアos端末 |
JP2005227891A (ja) * | 2004-02-10 | 2005-08-25 | Ricoh Co Ltd | 認証サービス提供装置、認証サービス提供方法、認証サービス提供プログラム及び記録媒体 |
JP2005234864A (ja) * | 2004-02-19 | 2005-09-02 | Nippon Telegr & Teleph Corp <Ntt> | 配信サーバおよびセキュリティポリシ配信サーバ |
JP2005267237A (ja) * | 2004-03-18 | 2005-09-29 | Hitachi Software Eng Co Ltd | セキュアosにおけるプロセスのアクセス権限可視化表示方法 |
JP2007133632A (ja) * | 2005-11-10 | 2007-05-31 | Hitachi Software Eng Co Ltd | セキュリティポリシー設定方法及びプログラム |
JP2007524148A (ja) * | 2003-06-17 | 2007-08-23 | デジタルネット・ガヴァーンメント・ソリューションズ・エルエルシー | トラステッド・コンピュータ・システム |
-
2007
- 2007-07-13 JP JP2007184004A patent/JP4949147B2/ja not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007524148A (ja) * | 2003-06-17 | 2007-08-23 | デジタルネット・ガヴァーンメント・ソリューションズ・エルエルシー | トラステッド・コンピュータ・システム |
JP2005063224A (ja) * | 2003-08-15 | 2005-03-10 | Nippon Telegr & Teleph Corp <Ntt> | セキュアosのセキュリティポリシを自動的に生成する方法及び装置並びに該方法を実行するためのプログラム |
JP2005209070A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 配信サーバおよびセキュアos端末 |
JP2005227891A (ja) * | 2004-02-10 | 2005-08-25 | Ricoh Co Ltd | 認証サービス提供装置、認証サービス提供方法、認証サービス提供プログラム及び記録媒体 |
JP2005234864A (ja) * | 2004-02-19 | 2005-09-02 | Nippon Telegr & Teleph Corp <Ntt> | 配信サーバおよびセキュリティポリシ配信サーバ |
JP2005267237A (ja) * | 2004-03-18 | 2005-09-29 | Hitachi Software Eng Co Ltd | セキュアosにおけるプロセスのアクセス権限可視化表示方法 |
JP2007133632A (ja) * | 2005-11-10 | 2007-05-31 | Hitachi Software Eng Co Ltd | セキュリティポリシー設定方法及びプログラム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114389897A (zh) * | 2022-03-18 | 2022-04-22 | 苏州市卫生计生统计信息中心 | It基础设施安全策略集中管控优化方法 |
CN114389897B (zh) * | 2022-03-18 | 2022-06-10 | 苏州市卫生计生统计信息中心 | It基础设施安全策略集中管控优化方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4949147B2 (ja) | 2012-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102226257B1 (ko) | 서비스 데이터를 블록체인 시스템에 기입하기 위한 방법 및 디바이스 | |
US20180307860A1 (en) | Managing configurations of computing terminals | |
US9165078B2 (en) | Row-based data filtering at a database level | |
Zhang et al. | Tagged-MapReduce: A general framework for secure computing with mixed-sensitivity data on hybrid clouds | |
CN114730269A (zh) | 基于用户提交代码的用于对象存储服务的用户特定数据操纵系统 | |
US9633214B2 (en) | Self-removal of enterprise app data | |
CN113079200A (zh) | 一种数据处理的方法、装置及系统 | |
CN112579202B (zh) | Windows系统的服务性程序编辑方法、装置、设备及存储介质 | |
KR20110104209A (ko) | 응용프로그램의 파일 입출력 보안방법과 보안시스템 | |
CN113239386A (zh) | Api权限控制方法及装置 | |
CN102262562A (zh) | 任务处理方法及系统 | |
US9990493B2 (en) | Data processing system security device and security method | |
CN103235918A (zh) | 可信文件的收集方法及系统 | |
US9122718B2 (en) | Dynamic directory control execution | |
CN103984621B (zh) | 日志分离方法和系统 | |
JP4949147B2 (ja) | セキュアosのセキュリティポリシの最適化方法及びプログラム | |
CN102289628A (zh) | 基于沙箱技术的shell脚本安全运行方法及系统 | |
US20120173489A1 (en) | Attribute selectable file operation | |
CN102868690B (zh) | Web服务隔离检测的方法及系统 | |
CN112149107B (zh) | 统一权限管理方法、系统、装置及存储介质 | |
CN111796972B (zh) | 文件热修复方法、装置、设备及存储介质 | |
CN109299417B (zh) | 查询访问路径的方法及装置 | |
CN116488860A (zh) | 基于服务网格的访问授权策略生成方法、装置及设备 | |
KR101058059B1 (ko) | 임베디드 파일 시스템의 마운팅 장치 및 그 방법 | |
CN104766018A (zh) | 一种Mapinfo地图加解密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120215 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120305 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120307 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150316 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |