ジグソー株式会社
Nature's Linux
トップ > Nature's Linux 独自機能 > VFS Jail機能

VFS Jail領域機能(アプリケーション領域サンドボックス機能)
 本機能は、アプリケーション領域(VFS領域)の管理者が誤ってシステムを壊してしまったり、クラッキングなどの攻撃を受け、システム全体へ影響させないためにアプリケーション領域(VFS領域)からシステム領域(RFS領域)へのアクセスを制限(サンドボックス化)する機能です。

 
アプリケーション領域からシステム領域へのアクセス制限事項
システム領域ファイルシステムへのアクセス
システム領域プロセスへのアクセス
mountの禁止(ディスクや他のメディアへの接続禁止)
sysctlによる設定変更の禁止
iptablesによるパケットフィルタ設定の禁止
mknodの禁止(システムデバイスへのアクセス制御)
ネットワークインターフェイス操作の禁止(IPアドレス変更など)


 
応用例
サービス事業者が利用者にアプリケーション領域のroot権限を開放してシステムを提供可能
ハニーポットとしての利用
Jail化されたアプリケーション領域

 
システム領域・アプリケーション領域のプロセス状態の比較例
システム領域からみたプロセスツリー
アプリケーション領域からみたプロセスツリー
 
init─┬─4*[agetty]
      ├─bdflush
      ├─2*[fcron]
      ├─httpd───20*[httpd]
      ├─keventd
      ├─6*[kjournald]
      ├─klogd
      ├─ksoftirqd_CPU0
      ├─kswapd
      ├─kupdated
      ├─master─┬─pickup
      │          └─qmgr
      ├─mysqld_safe───mysqld───mysqld───8*[mysqld]
      ├─named
      ├─ntpd
      ├─sshd───sshd───sshd───bash───pstree
      ├─sshd
      ├─2*[syslogd]
      ├─watcher2
      └─xinetd───in.proftpd
 
?─┬─fcron
   ├─httpd───20*[httpd]
   ├─master─┬─pickup
   │          └─qmgr
   ├─mysqld_safe───mysqld───mysqld───8*[mysqld]
   ├─named
   ├─sshd───sshd───sshd───bash───pstree
   ├─syslogd
   ├─watcher2
   └─xinetd
Linuxカーネルなどのシステム稼動に必要なプロセスからアプリケーション領域で稼動しているプロセスまで全てのプロセスをアクセス可能。 アプリケーション領域で稼動しているアプリケーションのプロセスのみアクセス可能。

技術的な機能詳細は、こちらをご覧下さい。

ここからフッダー
Nature's Linux Techポータルサイトはこちら
  
個人情報保護ポリシーNature's Linux ポリシー
Copyright (C) 2008- JIG-SAW, Inc.
All rights reserved.