TOMOYO Linux 詳細
TOMOYO Linux は Linux 向けの強制アクセス制御( MAC )の実装で、システムのセキュリティを高める用途は勿論、システムの解析を行う用途でも使えるツールです。このプロジェクトは2003年3月に始まり、2012年3月までは株式会社NTTデータがスポンサーとなって開発されました。
TOMOYO Linux はシステムの振る舞いに注目します。プロセスは何かの目的を達成するために生成されます。 TOMOYO Linux は(出入国審査官のように)それぞれのプロセスに対して目的を達成するのに必要な振る舞いや資源について報告させることができます。また、保護モードを有効にすることにより、(運用監視人のように)システム管理者により承認された振る舞いと資源へのアクセスのみを許可することもできます。
TOMOYO Linux は何に使えるのですか?
通常のオペレーティングシステム( OS )では、プロセスは監視されておらず、システムの中で何が行われているのかを把握することは困難です。
TOMOYO Linux を導入することにより、個々のアプリケーションを監視することができるようになり、何をしているのかを逐一観測することができます。また、観測された結果をポリシー設定として自動的に生成することができます。アプリケーションが行った動作は自動的にアクセス許可リスト( ACL )へと追加されます。アクセス許可リストを確認することにより、アプリケーションが何をしているのかを知ることができるようになります。
そのため、 TOMOYO Linux は以下のようにシステムを解析する際の手助けをすることができます。
- アプリケーションのデバッグ
- システムの振る舞いを理解
- アプリケーションの動作のドキュメント化
また、保護モードを有効にすることにより、 TOMOYO Linux は強制アクセス制御を用いてシステム管理者が許可した動作だけをアプリケーションに対して許可することができるようになります。
TOMOYO Linux はシステムの振る舞いを制限するツールとしても利用できます。例えば、以下のような用途に利用できます。
- SSHを使ったサービスの制限
- システム管理者の操作の制限
- アプリケーション/ユーザ単位のネットワークファイアウォール
- バッファオーバーフローやOSコマンドインジェクション脆弱性による被害の軽減
- ハニーポットシステムの構築
チュートリアル動画
以下のビデオは、 openSUSE 12.1 システムで TOMOYO Linux 2.4 を初期化/設定/適用する手順について紹介しています。僅か10分で TOMOYO Linux を経験することができます。
以下のビデオは、 Ubuntu 10.04 システムで TOMOYO Linux 2.2 を初期化/設定/適用する手順について紹介しています。僅か10分で TOMOYO Linux を経験することができます。
以下のビデオは、 CentOS 5 および Ubuntu 10.04 システムで TOMOYO Linux 1.7 をインストール/初期化/設定/適用する手順について紹介しています。僅か10分で TOMOYO Linux を経験することができます。