root - みる会図書館

1. UNIX MAGAZINE 1997年4月号

連載 / IJN Ⅸ知恵袋ーの逆引きデータベース (localhost. rev ファイル ) 図 12 図 13 192 .36. 148 . 17 1 IN IN IN SOA NS PTR ns. f00 . co ・」 p ・ 1 10800 1800 4320000 86400 ) ns . f 00. co ・ J p ・ postmaster. f00. CO. 」 p , 通し番号 ; 3 時間経過したら問合せ ; 30 分ごとに再試行 ; 50 日で無効化有効時間は 1 日 localhost . f00. co ・ JP ・ ) レート・ネームサー / 、一一覧 (root. cache ファイル ) 3600000 IN NS A . ROOT—SERVERS . NET . B . ROOT—SERVERS . NET . C . ROOT—SERVERS . NET . D . ROOT—SERVERS . NET . E . ROOT-SERVERS . NET . F . ROOT—SERVERS . NET . G . ROOT—SERVERS . NET . H . ROOT—SERVERS . NET . I . ROOT—SERVERS . NET . J . ROOT—SERVERS . NET . K . ROOT—SERVERS . NET . 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 3600000 A NS A NS A NS A NS A NS A NS A NS A NS A NS A NS A 図 14 resolv. conf ファイル domain f00 . CO ・」 p nameserver 127.0.0. 1 ルートサーバーの情報自分が管理するドメインより上位のドメインの言 t 算機名に対する問合せを受けたネームサーバーは、ルート・ネームサーバーへ問合せにいかねばなりません。ルート・ネームサーバーの情報は起重加芋にファイルから読み込みます。現在、世界には 11 のルート・ネームサーバーがあります。最新のルート・ネームサーバーの情報は ftp://ftp.rs.internic.net/domain/named.root から入 34 A . ROOT—SERVERS . NET. 198 .41.0.4 B . ROOT—SERVERS . NET . 128.9 . 0 . 107 C . ROOT—SERVERS . NET . 192.33.4. 12 D . ROOT—SERVERS . NET . 128.8. 10.90 E . ROOT—SERVERS . NET . 192 .203.230. 10 F . ROOT—SERVERS . NET . 192. 5 . 5 .241 G . ROOT—SERVERS . NET . 192. 112 .36.4 通常は /etc/named. boot を設定ファイルとして読み込みためのオプション・スイッチです。指定しなかった場合、を起動してみましよう。 -f は、設定ファイルを指定する以上で、準備するファイルは終りです。ネームサーバーこの数値は古い日罸にの名残です。を特別に扱っているため、無効になることはありません。すが、現在の BIND ではルート・ネームサーバーの情報図 13 で、 2 列目の数値はレコードの有間の指定でます。になっており、そのまま root. cache ファイルとして使えします。図 13 は、ネームサーバーのデータベースの形式手できます。図 13 にルート・ネームサーバーの情報を示 K . ROOT—SERVERS . NET . J . ROOT—SERVERS . NET . I . ROOT—SERVERS . NET . H . RO OT- SERVERS . NET . 198.41.0. 11 198.41 . 0. 10 128 . 63.2.53 ます。 UNIX MAGAZINE 1997.4

2. UNIX MAGAZINE 1997年4月号

UNIX & Security 2 ■ 図 1 ソフトフックの利用 OS カーネル OS ファンクションリソースネットワーク接続プロセスファイルアプリケーションプログラムシステムへのログイン監査記録特権アクセス accept ソフトフック accept connect open kill read ユーザー CO n nect close setuid 要求されたアクション open 許可検査 setuid イスュタセデイベント捕捉メカニズムシステムサービスまたは svc テープルため、大規模な利用は難しい。さらに重要なのは、 UNIX 設けたりする。あるいは、セキュリティ上の不正がなかっにおける最大のセキュリティ問題は、 root はいかなるセたかを調べる方法もある ( モニタリング ) 。その結果、セキュリティ対策の対象にもならない点である。キュリティ対策の担当者や監査者は、新たに報告された OS のバグやセキュリティ・ホールを見張り、 OS のべン root であれは、いかなるファイルへのアクセスも可能ダーからの定期的なバグフィックスやパッチに頼らざるをで、すべてのプロセスを終了させたり、システムを使えなえない。したがって、組織はセキュリティ侵害や不正侵いようにすることができる。不正侵入の標的になるのはた入を予防するのではなく、嘶変対策に追われるようになっいてい root であり、その結果、 root の無制限の権限がてしまう。悪用されてしまう。 root は監査言当求の変更や削除ができるので、侵入者カイ為装したり、侵入窈亦を消すことも可 UNIX を全面的に書き直さなければ、予防的でセキュ能になる。 root に糸寸的な権限が集中しているからこそ、リティ侵害を防ぐ包括的なセキュリティ対策を実現し、もっとも狙われやすいのだ。 root の権限を制御したうえでプライバシーや整合性、問題の報告をおこなう機能は提供できないのだろうか。 MVS ■ UNIX のセキュリティの改善におけるセキュリティ機能の実装方法をみれば、その答は意外なことに、、書き直す必要はない " である。 MVS で用 UNIX の基本言には、包才乱勺なセキュリティ対策がいられている去を利用し、 OS の外部で稼動するセキュ立てにくい要素がある。従来の手法の大半は UNIX のもリティ・システムをオ剽純勺に実装すれば、包括的なセキュリティ対策が実現できる。高度な、ソフトフック " またはつ制約の枠内での補足的な対策にすぎす、制約そのものに踏み込むものではない。たとえば、いくつかの手法では、リダイレクション手法の利用により、システムで発生するさまざまな出来事を把握し、制御できる。ソフトフック root のアカウントへのアクセスを制限するために、強力な認証方式を導入したり、システムへのログインに制約をは、ユーサーのコードからシステムに移るところ、も・しく 118 UNIX MAGAZINE 1997.4

3. UNIX MAGAZINE 1997年4月号

連載 / IJN Ⅸ知恵袋ーの図 1 ネームサーバーの言聢ファイル列 0 . 0.127. in—addr. arpa directory cache pr lmary pr lmary pr lmary /var/named f00. co ・」 p 10 . 159. 133 . in—addr. arpa root . cache f00.20 Ⅱ e f00. 10ca1host . rev ・ノレート・ネームサーノヾー 30 は f00. co. jp です。ち一 E げることにします。 ns. foo. co. jp カ壻理するドメイン IP アドレスが 133.159.10.1 であるネームサーバーを立なお、今回の説明のために、 ns. foo. co. jp という名前での書式を順ら細早説していきます。以後これら窈青報を言当するデータベース・ファイル算機名の場合、右にいくにしたがってより上位の組織を表機名と IP アドレスの階層構造の違いによるものてす。計スの記去か通常と逆になっています。この理由は、計算始まる IP アドレスを示します。逆引きの場合、 IP アドレことです。 10.159.133. ⅲ - addr. arpa が 133.159.10. では、その名のとおり、 IP アドレスから引・算機名を調べるデータベース・ファイル名を指定しています。逆引きとしています。次の primary 行は、逆引き用のドメインとのデータベース・ファイル名が f 。。 . zo Ⅱ e であることを示ることを宣言し、計算機名を IP アドレスに変換するためす。最初の primary 行は、 foo ・ co ・ jp ドメインを管理すンを指定し、そのデータベース・ファイル名を指示しま primary で始まる行はネームサーバーカ壻理するドメイバーの情報ですから、ドメインはルート (. ) になります。した情幸ゞ央されるドメインです。ルート・ネームサーイル名です。 2 列目の、、 . " は root. cache ファイルに言当タベース・ファイル名を指定します。 root. cache がファ cache 行はルート・ネームサーバーの情報を収めたデーデータベース・ファイルを置くことが多いようです。次のクトリを指定します。 /var/named/ ディレクトリ以下に directory 行はデータベース・ファイルがあるディレ /etc/named. boot です。図 1 を見てください。ルを書きます。通常、ネームサーバーの設定ファイルは最初に、ネームサーバーか起重加こ読み込む設定ファイネームサーバー設定ファイルすようになりますが、 IP アドレスは逆に、右にいくにしたがってより下位の細織を表します。そのため、言当去が逆になっています。最後の primary 行はローカルホストの逆引きの設定です。 127.0.0.1 という IP アドレスから localhost. f00. co. jp という名前を引くために必要です。ネームサーバーの設定ファイルは以上で完了です。ただし、ネームサーバーをより強靱にしたいと考えるのであれは、ネームサーバーを多重化し、たとえ 1 つがダウンしても代わりのネームサーバーが対応するような仕組みを作っておくべきでしよう。成疋ファイルのなかに primary という行がありましたが、これはプライマリ・ネームサーバーの成疋ファイルてイ吏われるものです。ネームサーバーにはプライマリ・ネームサーバーとセカンダリ・ネームサーバーがあります。プライマリ・ネームサーバーはデータベースの元締めで、あらゆる変更はプライマリ・ネームサーバー上でおこなわれます。セカンダリ・ネームサーバーは負荷分散やバックアップを目的としたミラーサーバーです。セカンダリ・ネームサーバーは定期的にプライマリ・ネームサーバーに接続し、最新のデータベース・ファイルを取得します。セカンダリ・ネームサーバーの設定は彳あすることにし、まずプライマリ・ネームサーバーのデータベース・ファイルの書き方をみていきましよう。計算機名から IP アドレスへ DNS データベースのレコードの書式を図 2 に示します。ん e リがデータベースを検索するときのキーです。 IP アドレス・データベースなら、計算機名になります。 s 。 c ← れ佖 me はデータベースのレコードの不鶤頁を示す文字列が入ります。 DNS データベースのレコードには、表 1 て示すような不軽頁があります。表 1 に示したようなレコードを総称して、資源レコー UNIX MAGAZINE 1997.4

4. UNIX MAGAZINE 1997年4月号

はユーザーのコードに戻るところに設けられる。 UNIX にも MVS にも基本的な機能 ( システムコールまたは SVC) から構成されるカーネルがあり、簡単なテープルを利用してシステムの機能 (open や close など ) との対応をとっている。 MVS では SVC テーフフレ、 UNIX では syscall テープルがこれにあたる。 MVS の SAF では、この部分でセキュリティに関するものは外部のセキュリティ・システムに受け渡すようになっている。 UNIX の脆弱性を補強する場合も、このテープルカ硬われるだろう。事実、 SAF 機能力甘是供されるまで、 MVS はこのテープルによってセキュリティに関連する出来事を孑足し、制御をセキュリティ・エンジンに渡していた ( 図 1 ) 。この簡潔な実装により、効率的で容易な運用が可能になったのである。このようなアーキテクチャは、 UNIX の既存のセキュリティ・メカニズムの変更を必要とせす、むしろもともとの UNIX では捕らえられないものを孑﨓足する補完的なシステムにすることかできる。このセキュリティの実装は OS にとってほとんど邪魔にならす、また OS の機能への依存もきわめて小さい。このメカニズムの醐長は、セキュリティに関する事柄が発生したという事実窈前捉にあり、そオ功ゞいかにして起きたかは対象としない。このアーキテクチャの実装には、従来の UNIX でとられてきたセキュリティ対策より優れている点がいくつかある。これによって、 root の匍卩、 UNIX のセキュリティの統一、ユーサーの牛付きアクセス、円滑な制が可能になる。このガ去は、予防的なセキュリティ対策の実堤ほかのガ去とは異なるセキュリティ対策の自重加勺な実施を可能にする。いかなるルールでセキュリティを実施するかを決め、それを設定しさえすれば、その他のことはこのメカニズムかすべて引き受けてくれる。ソフトフックを用いて UNIX のセキュリティ上の弱点を補強すれは、いちしるしい利朸ゞ得られる。このガ去は、誰かが r 。。 t になりすますのを防ぐだけでなく、 root やプログラムの権限を制御し、 root のもっ弱点を克服する。また、ユーザー・アカウントを作成したりパスワードを無効にできるアカウント管理者や、システム構成ファイルを保守するシステム管理者など、複数の管理者の root としての権限を制限できる。いかなる管理者も監査言求の変更はできない。さらに、問題が発生しやすい sendmail や RPC などのようなサプシステムがシステム本に景 UNIX MAGAZINE 1997.4 UNIX & Security 2 0 をおよばさないようにすることもできる。 r 。。 t の権限で動く sendmail プログラムについても、 /var/spool/mail にしかファイルを書き込めないようにして悪用を防げる。システムを管理する権限は無条件に root に - 学えるのではなく、システムの管理にあたる複数のイ頁できる管理者だけに付与・してもよい。たとえーヨ殳ューサーが root になる方法をみつけたとしても、 root の権限を悪用してシステムに損害を - 学えることはできなくなる。 MVS にならった UNIX セキュリティの : 見には、いくっか鮹夬すべき譏題か残っている。この力法を実用化するには、 OS 内部の機能への依存がきわめて小さく、カーネルの手直しが不要なアーキテクチャを使わねばならない。したがって、可能なかぎりソフトフックに似たアーキテクチャを利用する必要がある。さらに、最適なパフォーマンスを囎軍し、許可要求を効率的に処理してネットワークのセキュリティ対策にともなう高コストという問題を回避するものでなければならない。このような間題か解決さ適切なアーキテクチャか利用されれは、 UNIX でも MVS と同様なセキュリティを実現できるだろう。セキュリティ関連の製品およひ統合パッケージの研究発をおこなう Memco Software のマーケティング担当部長。 10 年以 - E にわたって情幸支術の仕事に携わり、そのうちの数年間は大企業 ■ Dorin Miller ◎ 1996 , UNIX REVIEW (). S. A. ) UNIX REVIEW 1996 年 11 月号より「 Security: UniX VS. Mainframes 」を対象としたコンサルタントとして活重劜 119

5. UNIX MAGAZINE 1997年4月号

UNIX & Security 2 ■ きるようになる。 UNIX で、ユーサー A がユーザー B の ID の代わりに自分のユーザー ID を使い、ユーサー B の権限を行使する 1 つの方法は、 su コマンド ( または setuid システムコール ) を実行して有効なパスワードをユーサー B のユーサー ID に渡すことである。この手法を利用した場合、ユーサーのパスワードが公表さセキュリテイか破られたり不都合が生したりするおそ功ゞある。パスワードの変更を世界中に知らせ、そのパスワードがハードコードされている多数のスクリプトを更新しなければならなくなるかもしれないのだ。しかも、このイはみでは John に特定の機能に限定した実行権限を与えるのではなく、 Linda ができることはすべて John にも実行可能にしてしまう。一方、 MVS ではユーサーにバッチジョブの投入を許可し、ジョブ制御言語 (JCL) でユーザー名とパスワードを指定して (//JOBABC JOB( … ),USER=SOME BODY PASSWD=ACBDE) 、そのジョブに関する別のユーザーの実行権限を与える。ただし、ユーザー ID の入替えをより確実に管理するために、 MVS のセキュリテイ・システムでは代理ユーサー (surrogate-user) という考え方を導入している。このイ督はみ (ASID チェックとも呼はれる ) では、ユーザーがはかのユーサーの権限を行使できるのは、実行可能な権限がセキュリティ・データベースに言当されており、かっパスワードを使用しない場合に限定される。このようなイはみであれば、パスワードを配布する必要はない。その代わり、ユーサー John が実行できること ( ューザー Linda の権限て特定のタスクを実行する ) を正確に主している。 MVS では、さらに監査ログによって該当するユーサーの行動とユーサー ID の入替えをトレースできる。 UNIX では、パスワードカ印隹ーの認証去であり、しかも多くのシステムでは、あるユーザーがほかのユーザー ID を使い始めると同時に監査言当求はもとのユーザー ID による行動を央しなくなってしまう。特権ユーサー ID UNIX では、すべてのセキュリティ・チェックをくぐり抜けられるスーパーユーサー (root) という仕組みか設計にとりいれられており、これが多くの鮹夬困難な問題をもたらしている。 root はシステムの所有者なので、システムのシャットダウンなどの牛讚勧勺な操作を実行する場合 116 にも権限をあらためて証明する必要はない。 MVS にもセキュリティに関する定義の設定、変更ができる特権ユーサーという機能があるが、 UNIX のような無制限の権限をもっスーパーユーサーにある落し穴を避けるさまざまな対策か講しられている。 MVS は、 UNIX の root のように無制限の権限をもつシステム管理者やセキュリティ管理者を想定していない。あらかしめ決められた管理者やそれに類する竹喋をおこなう者は、管理上の限定された権限しかもてない。監査言当求の整缶生を保つ規則はハードコードされており、誰も変更できない。ところが、 UNIX の root は自らのキ罸雀により、システムの監査言求をはしめ、あらゆるものを削除、変更して不当な活動の亦を隠せるのである。特権プロクラム UNIX では、 su コマンドや setuid を用いたプログラムにより、権限をもたないユーサーにあらかしめ決められた特権的なアクセスを認める。所有者が root のプログラムをユーサーか実行するとき、そのユーサーは事実 - ヒ root として行重丿ける。 setuid によるプログラムは、もともとはキを行使する機能を個々のユーザーが使えるようにカプセル化するためのものだったが、やかてセキュリティに破綻をきたしかねない要因になった。クラッカーは、このようなプログラムにあるセキュリティ・ホールやバグを使ったり、あるいは UNIX のほかの振舞いを利用してこれらのプログラムを操作し、不正なアクセスを実現する強力な武器にすることができる。 MVS にも同様な操作ができる機能があり、通常のプログラムには認められていない特権的な機能を実行できる APF (Authorized Program FaciIity) というプログラムがある。しかし、これらのプログラムがいかなる牛罸雀をもっていても、標準のセキュリティ・チェックをすべて受け、それ ( ン以しなけれはならない。 MVS は包キ甜勺な監査機能によってこれらのプログラムの活動をトレースするとともに、プログラムか変更されないようにしている。つまり、 MVS は特権プログラムの問題について実践的なアプローチをとっているのである。 UNIX と同様、 MVS にもセキュリティ上の問題はあるが、一貫した方法で解決している。 UNIX は、 MVS のガ去から何を学びとれるのだろうか。 UNIX MAGAZINE 1997.4

6. UNIX MAGAZINE 1997年4月号

連載 / UN Ⅸ知恵袋ーの図 21 下位ドメインの艮委譲 IN soft . f00. co ・」 p ・ ns . soft . f00. CO ・ jp. IN NS A ns . soft . f00. CO ・ JP ・ 133. 159.49.1 図 22 下位ドメインの引きの権限委譲 49.159.133. i Ⅱー addr. apra. IN NS Ⅱ s. soft . f00. co ・ JP ・図 23 セカンダリ・ネームサーパーの言聢ファイル directory cache S e C ondary S e C ondary pr lmary /var/named f00 ・ co ・」 p root . cache 133.159.10.1 backup/foo . zone 10.159.133. in—addr. arpa 133.159.10.1 backup/foo . rev 0.0.127. in-addr. arpa 10ca1host . rev 2 のガ去を用いる場合は、 ns. foo. co ・ jp の設定と同し手順で soft. foo. co. jp のネームサーバーを用意します。たとえは・、 ns. S0仕 . f00. co. jp ( 133.159.49.1 ) というネームサーバーを用意したとしましよう。そして ns. foo ・ co ・ jp から ns. soft. f00. co. jp へ、 so 仕 . f00. co. jp ドメインの権限を委譲します。具イ勺には、図 21 の行を foo. zone に付け加えることになります。あとの設定は ns ・ foo ・ co ・ jp を設疋したときと同様です。そして、忘れすに 159.133. in-addr. arpa. を管理するネームサーバーに逆引きの権限を委譲してもらいます。図 22 を 159.133. in-addr. arpa. のデータベース・ファイルに追加する必要があります。セカンダリ・ネームサーバーの運用ネームサーバーをより強固にするため、一ヨ勺には複数のセカンダリ・ネームサーバーを用意します。セカンダリ・ネームサーバーは簡単に実現できますから、計算機に余裕があれはぜひ運用したいところです。図 23 にセカンダリ・ネームサーバーの設疋ファイルを示します。プライマリ・ネームサーバーの成疋ファイル ( 図 1 ) と見くらべてください。 f00. co ・ jp と 10.159.133. ⅲ - addr . arpa の行が primary から secondary に変更されています。ネームサーバーのデータベース・ファイル名の代わりにプライマリ・ネームサーバーの IP アドレスを指定し、その後ろにプライマリ・ネームサーバーから入手したデータベース・ファイルをバックアップしておくためのファイルの位置を指定します。 root. cache ファイ UNIX MAGAZINE 1997.4 ルと localhost. rev ファイルはプライマリ・ネームサーーと同しものですから、セカンダリ・ネームサーバーの /var/named/ ディレクトリにコピーしておきます。プライマリ・ネームサーバーカ種力いている状態で、セカンダリ・ネームサーノヾーを起動してみてください。正しく設疋されていれは、 /var/named/backup/ ディレクトリにプライマリ・ネームサーバーからコピーされてきたデータベース・ファイルができているはすです。ネームサーバーを利用する言 t は、 /etc/resolv. conf ファイノレの nameserver 行を〕旦加し、セカンダリ・ネームサーバーのアドレスを指定しておきます。そうすれば、万ープライマリ・ネームサーバーがダウンしていた場合も、セカンダリ・ネームサーバーのバックアップ・データを利用してネームサービスを利用することができます。 ☆ 今回は、ネームサーバーの立ち上げに必喫な設定を解説しました。次回は、今回紹介できなかった資原レコードについて説明します。 ( しま・けいいちシャーフ ) 37

7. UNIX MAGAZINE 1997年4月号

MVS のセキュリティ UNIX MAGAZINE 1997.4 加されても、 OS にはそれほどの負担にならない。ら冗長なセキュリティ・チェックのためのプログラムが追確かっ単しかも安全な能力を」助日できるので、あとかどには立ち入らない。この区別によって、 OS の機能に明められた操作だけであり、ファイルシステムの内音財冓造なの権限、ファイルのセキュリティ関係のアクセス権、求い。同様に、セキュリティ・システムが扱うのはユーサー確認するようなセキュリティ対策に手を出してはならなるが、ファイルアクセスについて特定のユーサーの権限を OS はファイルに対して適切な入出力をおこなう必要はあを区別し、そのギャップを埋める働きをする。たとえば、 SAF は OS の機能とセキュリティ・エンジンの機能軟で多様な牛にもとづいて資源をイ描隻する。工ンジンは、 ACL (Access ControI List) をイ尉寺し、柔ティ・エンジンに渡す。これを受け取ったセキュリティ・クセス方法といった必要な情報をすべて外部のセキュリれているアクセスの種別 ( 読出し、更新、変更など ) 、アめに応して、ユーザー ID やアクセス対象の資源、求めらこれらを許可するか否かを決める際、 MVS は SAF の求インできないといった措置か講じられている場合もある。グインできる日計帯カ鴃まっている、または平日しかログべースにアクセスできなかったり、あるいはシステムにロれたアプリケーション・プログラムを使わなけれはデータのアクセスが認められないことがある。たとえば、決めらときには、一定の細かな条件を満たさなけれはユーサーを含むセキュリティ機能の才長が可能になる。の糸財寺、信頼生の高い包括的監査言求の作成、特別な機能ムでは、イベントか起きる前の制御、正確な報告システムある集中的なセキュリティ管理が可能になる。このシステに厳密になる。このようなアプローチ窈采用で、一貫性のり、セキュリティ・エンジンの判陸皀カか強化ささらティ・エンジンに提供する。 MVS からの情報の取得による情報を SAF インターフェイスを通して外部のセキュリし、 MVS は許可・不許可を決定するために必なあらゆログラムに委ね、自らは権限の付与にかかわらない。しか MVS は、すべてのセキュリティ許可の仕事を外部のプ UNIX & Security 2 ■ 制御と root 117 法によるファイルの一描は細かな部分しか対象にならない ID の入替えなどには適用されない。けっきよく、この方されるのはファイルアクセスだけで、デーモンやユーサー問題は依然として角夬されていない。また、 ACL か利用テムの柔軟性は増すが、冗長性と一貫性のない管理という用している。これによって、糸ムみのセキュリティ・シスジョンの UNIX では、アクセス許可の処理に ACL を利をコピーして実行される危険性がある。一部の新しいバーいでファイルの言囚みやコピーは可能なので、プログラム実行できないようにすることはできる。しかし、設定しだえは、ファイルの許可モードの設疋により、プログラムが用を許す整合生のとれない状況に陥るおそれがある。たと与えるイはみはない。さらに、 UNIX の去では、不正利護モードや所有者の変更といった個々の操作ごとに権限をば、もともとの UNIX には、生成や変更、ファイルの保くっかの重要なセキュリティの要件を満たせない。たとえているので、このイは重要である。しかし、これではい記述された設定ファイルによってセキュリティを実現しある。はとんどの UNIX システムでは、単純な文字列でする読出し、書込み、実行の許可によるファイルの一でしい。その基盤になっているのは、 9 ビットの↑帯長で識別 UNIX のセキュリティは整合生に欠け、その管理は難ポーネントから橢友されている。リティ機能は、相圧の連携に欠け、不統一な数多くのコンの入力を要求する。このように、 UNIX におけるセキュほかのユーサーのユーザー ID を利用する前 0 ン以ワード必要である。 setuid システムコールは、あるユーサーがコールでプログラムを終了させるには、 root ID の権限がとまったく同し許可権限をチェックする。 kill() システムの許可権限を調べる。 exec() システムコールは、 open() 叩 en ( ) は、 i ノードの 9 ピットて指定されているファイルとえば、ファイルへのアクセスを扱うシステムコールのれはシステムのほかの機能とは完全に独立している。たテムコールがセキュリティ・チェックをおこなうが、そるようなセキュリティ上の仕組みはない。あらゆるシスの機能によって個別に実行される。認証をまとめて検査づー UNIX のセキュリティは分散しており、システムの個々

8. UNIX MAGAZINE 1997年4月号

連載 /FreeBSD ノートー① チとともに則記の URL から入手できる。以下では、 setlocale() がどのように実行されるか、どのようにセキュリティ・ホールとなりうるか、といった点について解説する。このセキュリティ・ホールを悪用すれば、最終的には一ヨ殳ューサーが root キ罸在を手に入れることができる。実際に root キ罸雀を取得するにはかなりの技術力が必要なので、こで具イ勺な解見はしない。今回セキュリティ・ホールがみつかったのは、 FreeBSD 上で動くすべてのプログラムに含まれている crt0 というライプラリである。 crt0 の彳齬リをみるために、ます空のプログラム foo. c を C 言語で作成して、どのようにコンパイルされるかを調べてみよう。以下に示すのは、 2.1.5-RELEASE での実彳引列である。ソースコードの場所は、 2.1.5-RELEASE の配布中のソースをすべて展開した場合を想定している。コンパイルの仕組みコンパイルの具イ勺な内容は、 cc (FreeBSD の場合は、 cc で GNU のコンパイラ gcc か呼び出される ) にオプショ gcc version 2.6.3 miffy% cc —v f00. c main() miffy% cat f00. c ン—v を指定することによって分かる。 ar/tmp/cc0141501.0 /usr/lib/libgcc. a —lc /usr/li /usr/bin/ld —e start —dc —dp /usr/1ib/crtO.0 /v 014150. s /usr/bin/as ー 0 /var/tmp/cc0141501.0 /var/tmp/cc by GNU C version 2.6.3. GNU C version 2.6.3 ( 80386 , BSD syntax) compiled mpbase f00. c —version ー 0 /var/tmp/cc014150. s /usr/libexec/ccl /var/tmp/cc014150. i —quiet —du End of search list . /usr/include . > search starts here : #include く . search starts here : #include " GNU CPP version 2.6.3 ( 80386 , BSD syntax) ( i386 ) —Amachine(i386) f00. c /var/tmp/cc014150. i ー D ーー i386 —Asystem(unix) —Asystem(FreeBSD) —Acpu —D__FreeBSD__=2 —D__unix ー D ーー i386 ー 2 —D__unix_ —D__GNUC_MINOR__=6 —Dunix ー Di386 —D__FreeBSD /usr/libexec/cpp —lang—c —v —undef —D——GNUC——=2 2. C 言語からアセンプリ言言の変換 3. アセンプリ言語からオプジェクト・ファイルへの変換 4. オプジェクト・ファイル ( ーイ殳には複数 ) をリンクして実行形式に変換という流オ功、らなり、それぞオし cpp 、 ccl 、、 ld という下請けプログラムにより実行される。 cc の彳難リはオプションを判別してこれらのプログラムを適切に呼び出すことである。ファイルの受渡しにはディレクトリ /var/tmp/ 以下の中間ファイルカ吏われていることが分かる。 cc のオプションとして—pipe を指定すると、最初の 3 つの過程で中間ファイルの代わ引ンヾイプを使って受渡しができる。こちらのはうがメモリをよけいに消費するが、ファイルへのアクセスかる。したがって、メモリが - ト分にあればコンパイルが速くなる。この空のプログラム foo. c にはインクルード・ファイルやマクロがないため、 cpp は素通りする。次のステップでどのようなアセンプリ言語に変換されているかをみてみよう。 cc で -S オプションを指定すると、 . s て終るファイルにアセンプリ言語に変換して出力する。 miffy% cc —S f00. c miffy% cat f00. s . file gcc2—compi1ed. " f00. C " ・ align 2 —gnu—compiled—c : . text . g10b1 _mam : LI : Lfe1: ma111 ・ type _main, @function pushl %ebp movl %esp , %ebp call _maxn leave ret . SIZe main, LfeI—_main b/libgcc . a コンノヾイルは、 102 1. インクルード・ファイルの言囚み、マクロの鮹夬関数 main() のエントリが -main というラベルになっているのが分かる。このように、 C 言語の識別子の頭ー " を付けたものがアセンプリ言語のレベルでの識別子 UNIX MAGAZINE 1997.4 という関数を呼び出して戻るだけである。ムの本体である。けっきよく、 main() の中身は --main( になる。ラベルー main から ret 命令までカゞ、このプログラ

9. UNIX MAGAZINE 1997年4月号

連載 /FreeBSD ノートーリスト 1 簡略化した start() start() struct kframe { int char char char kargc ; *kargv [ 1 ] ; kargstr [ 1 ] ; kenvstr [ 1 ] ; / * size depends on kargc * / / * Size varies * / ALL REGI STER VARIABLES ! ! ! if (argv [ 0 ] ) environ = targv; —targv; if (targv > = (char * * ) (*argv) ) / * void * / for (argv = targv = &kfp—>kargv [ 0 ] , register Char **argv ; register char **targv ・ register struct kframe *kfp ; *targv 十十 ; if ( (——progname —strrchr(argv [ 0 ] , = argv [ 0 ] ; —progna-me 十十 __progname ; if (getenv ( "ENABLE—STARTUP_LOCALE" ) ! = NULL) —startup—setIocaIe(LC—ALL, exit (main(kfp—>kargc , argv , environ) ) ; -LOCALE に定義されているデフォルトの値 (/usr/ share/locale) カイ吏われる。そしてリスト 3 のように、下請けの関数 startup- setrunelocale() 中で name というノヾッフアに内容をコピーしている。セキュリティ・ホールの正体こで問題になるのが、バッファ name の長さである。 name の長さ PATH- MAX は /usr/include/sys /syslimits. h で定義され、 1024 となっている。一方、環境変数を設定する関数 setenv() (/usr/src/lib/libc/ stdlib/setenv. c のなかで定義されている ) を見ると分かるように、どんなに長い文字列でも ( イ瓦想メモリカ戦っていれは ) 環竟変数に設疋できるようになっている。もし、竟変数 PATH-LOCALE の長さが 1 , 024 を超えている場合には、 strcpy() によってバッファⅡ ame の 104 具イ勺には、悪意をもったユーサーか不正に root やそグラムについても同様である。あるいは setgid されたプログラムから呼び出されるプロ不正ロ限を入手することが可能になる。これは、 setuid 数 PATH-LOCALE に特殊な文字列を設定して実行し、め、このようなプログラムか第踵カ作するように、故意に変るユーサーの権限ではなく別の権限で実行される。そのたは間題がさらに大きい。こういったプログラムは、実行すしかし、 setuid や setgid されているプログラムの場合な景グが出ることはなさそうである。やデータカ皸壊されることはあってもシステム自体凵リ響がおよぶことはない。したがって、ユーザーのファイルアクセス制御により、実行したユーサーの権限を越えて影設罰 j 作がおこりうる。通常のプログラムならば UNIX のタか破壊されてプログラムが正常に実行されなかったり、長さを超えてコピーがおこなわれてしまう。すると、デー UNIX MAGAZINE 1997.4

10. UNIX MAGAZINE 1997年4月号

DAEM 〇 NS & DRAG 〇 NS の Aut0CIient の導入 UNIX MAGAZINE 1997.4 年 3 月号 ) を参照してはしい。 1 調主 : 本連載の「キャッシュ・ファイルシステムの利去」 ( 1997 ファイルシステムは、 NFS あるいは ( アクセスのはとんション (/ と /usr) がキャッシュされる。はかのすべての域として使われる。キャッシュ領域には OS のパーティする。ローカルディスクはスワップおよびキャッシュ領クレス・クライアントと同しメカニズムを用いてプートータの入っていないディスクをローカルにもち、ディスファイルシステム (cachefs) を利用する。システムはデ AutoClient システムは、前回 1 紹介したキャッシュ・ AutoClient の概要る管理の容易さを兼ね備えている。システムの処理速度と、ファイルシステムの集中化によレス・ワークステーションである。スタンドアローン・ Sun が開発した AutoCIient は、次世代のディスクうになった。 NFS サーバーに置くというシステム設定をおこなうよをローカルなディスクに置き、データは従来のようにく、より安価になってきた。これにより、管理者は OS ワークの速度が停滞気味なのに対し、ディスクはより速ムファイルを取得するために NFS が使われた。ネットス・クライアントの次の実装では、サーバーからシステロード可能なファイルシステムが含まれる。ディスクレ TFTP によってディスクレス・クライアントへダウンイスクを利用していた。ネットワーク・ディスクには、の実装では、サーバーがもっているネットワーク・デ Sun ワークステーションがごく一般的であった。最初 10 年ほど前はディスクレスの前回述べたように EDinah McNutt 、 Peter Galvin from UNIX REVIEW どか読出しの場合は ) cachefs によってマウントされる。ローカルにスワップ領域をもっことにより、サーバーの負荷を軽減し、ディスクレス・クライアント全体のパフォーマンスを向上させる。これに加え、 cachefs によってさらにパフォーマンスか高められる。前回の記事を読んでいない方のために付け加えておくと、 cachefs は NFS クライアントにローカルなキャッシュ領域をもたせることで、読出しのみ、あるいははとんどか第売出しのファイルシステムに対する NFS によるアクセス性能を改善できる。 AutoClient は、ローカルなデータをもたない FRU2 として最適である。システムか動かなくなったときはハードウェアを取り替えてすぐにプートできるので、新たなハードウェアを入手するだけでよく、修復に要する時の封象となる AutoCIient のクライアント ( 以ード、略 ) には AutoClient のプログラムのほかに、サポート AutoCIient サーバー ( 以下、たんに、、サーバー AutoClient サーバーの作成間を短縮できる。 2 訳注 : FRU は field-replaceable unit の略で、交換部品を意味すーは、 Solaris 2.4 または 2.5 でなければならを用意する必要がある。トに対しては、 /export/root に 20MB のディスク空間 /export に 17MB の容量が必要である。各クライアンは、ルート・ファイルシステムに IMB 、 /usr に 4MB 、意しなければならない。 AutoCIient 自体を置くためにライアント " と略 ) のためのディスク領域をそれぞれ用る。 59