2005/11/22 on Yano's digital garage

SElinuxの追加ポリシー

Tue, 22 Nov 2005 21:00:58 +0900

/etc/selinux/targeted/src/policy/domains/program/apache.teに追加したポリシーの備忘録。

allow httpd_suexec_t user_home_dir_t:dir search;
allow httpd_suexec_t user_home_t:dir { add_name remove_name getattr search write };
allow httpd_suexec_t user_home_t:file { execute execute_no_trans getattr ioctl read rename append create unlink write };
allow httpd_suexec_t user_home_t:lnk_file { getattr read };
allow httpd_suexec_t tmpfs_t:dir search;
allow httpd_suexec_t lib_t:file execute;
allow httpd_sys_script_t tmpfs_t:dir search;
allow httpd_sys_script_t devpts_t:chr_file { read write };
allow httpd_sys_script_t httpd_sys_script_exec_t:dir { read add_name remove_name write };
allow httpd_sys_script_t httpd_sys_script_exec_t:file { create unlink write };
allow httpd_sys_script_t httpd_sys_script_exec_t:lnk_file read;
allow httpd_sys_script_t var_t:dir { add_name remove_name write };
allow httpd_sys_script_t var_t:fifo_file write;
allow httpd_sys_script_t var_t:file { create execute execute_no_trans getattr link read unlink write };
allow httpd_sys_script_t user_home_t:lnk_file read;
allow httpd_sys_script_t reserved_port_t:tcp_socket name_connect;
allow httpd_sys_script_t smtp_port_t:tcp_socket name_connect;
allow httpd_t http_port_t:tcp_socket name_connect;
allow httpd_t httpd_sys_content_t:dir { add_name write remove_name };
allow httpd_t httpd_sys_content_t:file { create write append setattr unlink };
allow httpd_t httpd_sys_script_exec_t:lnk_file read;
allow httpd_t httpd_config_t:dir {write add_name };
allow httpd_t httpd_config_t:file create;
allow httpd_t httpd_modules_t:file execmod;
allow httpd_t lib_t:file execute;
allow httpd_t tmp_t:file { getattr read };
allow httpd_t user_home_t:dir { getattr search read add_name remove_name write };
allow httpd_t user_home_t:file { getattr read write lock unlink create setattr };
allow httpd_t user_home_t:lnk_file { getattr read };

東証障害などIT記事まとめ

Tue, 22 Nov 2005 20:08:17 +0900

11月1日に東証で発生した史上最悪の障害について取り上げた日経ITProのフォロー記事が気になった。何はさておき『東証ダウン、真の原因はプログラムの破損』というタイトルを見て「プログラムの破損」って何よ？

記事本文を読んでみても具体的なところがよくわからんのですが、シンボリックリンクが外れたとか、そんな感じなのかなぁ？

直接的な原因は手順ミスという事なのだが、テストやリハーサルで問題をチェックできなかったところに事態の深刻さをヒシヒシと感じる。まさに連日ホットな構造設計書偽造の件と問題の本質は同じなのかもしれない。

そういう観点から眺めると、記事の

証券取引システムなど、社会インフラを支えるシステムの開発・運用は本来、大きな責任と緊張を強いられる。短期開発やコスト削減に盲進する中で、やるべきことができない状況が生まれているとすれば、それこそが問題の根本だろう。この点で、金融庁が報告を求めるべきは、表面的なシステムの現状や管理・運営体制ではない。

なんて一節は、いいとこ突いている気がする。

日経ITProの特集記事では特集「携帯・家電に忍び寄るネット・セキュリティの闇」もなかなか興味深かったが、これからはネット銀行安心の新常識にも注目したい。

＠ITの特集『ツールを使ってネットワーク管理』も読んでおきたい。社内メールの盗み読みなんて朝飯前だという事がわかるはずだ。ついでにネットワーク管理者な人は連載ネット・コマンドでトラブル解決もオススメ。

【参照】
●日経ITPro http://itpro.nikkeibp.co.jp/
┣東証ダウン、真の原因はプログラムの破損 2005年11月18日
┣特集「携帯・家電に忍び寄るネット・セキュリティの闇」
┗ネット銀行安心の新常識
●＠IT http://www.atmarkit.co.jp/
┣後輩のツール君曰く、コマンドはもう古い！？ 2005年9月27日
┣勝手にネットにつないでるマシンを探せ！ 2005年10月25日
┗私用メールする子にお仕置きを 2005年11月22日
◆Master of IP Network >> 連載ネット・コマンドでトラブル解決

またInternet Explorerにセキュリティホール

Tue, 22 Nov 2005 18:59:38 +0900

Internet Explorerの欠陥がまた警告されている。

この欠陥そのものは5月に報告されていたJavaScriptのwindows()関数に起因するバッファオーバーフローで、言わば既知の問題だ。しかし、これまでは異常終了するだけと見られていたのだが、Webサイトを見るだけで不正なプログラムを実行させられる危険性がある事が確認され、問題はより深刻な事がわかった。

既に検証コードがネット上に公開されてしまった事から、もはや一刻の猶予も無い状況なのだが、残念ながら修正プログラムはまだ無い。

取り急ぎInternet Explorerのアクティブスクリプトを無効にするべきだ。設定手順はセキュリティアドバイザリの「推奨するアクション」→「回避策」に詳しい。

手っ取り早い方法だとFirefoxやOperaなどの代替ブラウザを利用するのもオススメだ。

【参照】
●ITmedia http://www.itmedia.co.jp/
┗IEに未パッチの深刻な脆弱性、実証コード公開 2005年11月22日
●日経ITPro http://itpro.nikkeibp.co.jp/
┣IEにパッチ未公開の危険なセキュリティ・ホール，“実証コード”が既に出現 2005年11月22日
┗マイクロソフト，IEのセキュリティ・ホールに関するアドバイザリを公開 2005年11月22日
●マイクロソフト TechNet セキュリティセンター http://www.microsoft.com/japan/technet/security/
┗Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される(911302) 2005年11月22日