327.2強制アクセス制御

今回は303試験の試験範囲から「327.2 強制アクセス制御」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜327.2 強制アクセス制御＞
重要度 4

＜説明＞
Linuxの他の強制アクセス制御システムに精通していること。これらのシステムの主な機能が範囲に含まれるが、その設定や使用方法は含まれない。

＜主要な知識範囲＞
・SMACK
・AppArmor

＜重要なファイル、用語、ユーティリティ＞
・SMACK
・AppArmor

■例題
SMACKおよびAppArmorについての説明として間違っているものを選びなさい。

1. SMACKは、SELinuxよりシンプルに強制アクセス制御を実現する仕組みである
2. SMACKは、SELinuxとは同時には使用できない
3. AppArmorは、プログラム単位で有効／無効にできるMACの仕組みである
4. AppArmorは、プログラムの動作を監視するサービスを起動して実現している

※この例題は実際のLinuC試験とは異なります。

SMACKもAppArmorも、LinuxカーネルのLSM(Linux Security Module)を利用してMAC（強制アクセス制御）を実現しています。LSMはSELinuxなどその他のセキュアOS機能も利用しており、どれか一つの仕組みしか使えず、モジュールではないので再起動が必要となります。

SMACKは、SELinuxが複雑なラベルやポリシー設定が必要であるのに対して、簡単な設定でMACを実現することを目指して開発されました。

AppArmorは、SELinuxがシステム全体に対してMACを実現するため、サービスが正常に動作しないなどの問題が起きやすいのに対して、特定のプログラムにのみMACを適用し、設定されていないプログラムは通常通りの動作が行えるようにしています。AppArmorもLSMを利用したカーネルの機能として実装されているので、SELinuxと選択的に利用することになります。