327.2強制アクセス制御

今回は303試験の試験範囲から「327.2 強制アクセス制御」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜327.2 強制アクセス制御＞
重要度 4

＜説明＞
Linuxの他の強制アクセス制御システムに精通していること。これらのシステムの主な機能が範囲に含まれるが、その設定や使用方法は含まれない。

＜主要な知識範囲＞
・SMACK
・AppArmor

＜重要なファイル、用語、ユーティリティ＞
・SMACK
・AppArmor

■例題
SMACKの説明として間違っているものを選びなさい。

1. SMACKはLSM(Linux Security Module)を活用して実装されている
2. SMACKはバックグラウンドプロセスとして実行される
3. SMACKはプロセスにもラベルを付ける
4. SMACKは新しく作られたファイルに自動的にプロセスのラベルを付ける

※この例題は実際のLinuC試験とは異なります。

SMACK(Simplified Mandatory Access Control Kernel)の略です。Linuxカーネルが用意しているLSM(Linux Security Module)を利用したセキュアOS実装として提供されており、カーネルレベルで動作します。

特徴としては、ラベルを使ってセキュリティポリシーを実装します。ファイルにラベルをつけ、そのラベルに対応するポリシーに従ってアクセス制御が行われます。プロセスにもラベルを付けられるので、そのプロセスがファイルを生成するとプロセスのラベルがファイルにも付けられます。

SMACKはSELinux以外のセキュアOS実装ですが、現時点では情報や利用者も少ないようです。しかし、名前の通りシンプルな実装を目指した実装なので、セキュアOSの動作について理解したい人は試してみると良いかもしれません。