前回はSELinuxの機能を利用したドメインを作成し、制御する方法を紹介しました。この際、ポリシーを追加し、許可の要/不要を吟味しました。今回はこのポリシーをより詳しく解析していきましょう。

 前回、logstashドメインを作成してポリシーを付け加えていきました。また、ポリシーを追加していく際には本当にその許可が必要なのかを吟味する必要があることも説明しました。

 前回の作業を繰り返して行った結果、以下のようなlogstash.teファイルが出来上がっていると仮定します(図1)。今回は、このファイルから生成されたポリシーを解析します。

図1●logsatash.teファイル
前回実行した操作の結果、以下のようなlogsatash.teファイルが出来上がる。
[画像のクリックで拡大表示]

logstashドメインを解析する

 ドメイン解析を、logstash_tドメインに対しても行っていきます。

 まずlogstashですが、プログラムである以上(悲しいことですが)バグや脆弱性が発生することは避けられません。logstashの過去の脆弱性に関しては、Elasticスタック製品全体の脆弱性のサイトに載っています。今回は、この中で「(ファイル出力プラグイン: 今回のようなログをファイルへ出力する、インストール済みのプラグイン)でのディレクトリートラバーサルの脆弱性」(CVE-2015-4152)が発生したと仮定します。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら