2013年12月21日

208.5 日問題の逆襲

昨年の始め頃、 208.5 日以上連続稼働すると動作が停止したり kernel panic が発生したりする可能性があるという TSC 絡みの不具合が話題になりました。

Linux カーネルの sched_clock() が 208.5 日の連続稼働でオーバーフローする現象について
https://access.redhat.com/site/solutions/121233

Does Red Hat Enterprise Linux 6 or 5 have a reboot problem which is caused by sched_clock() overflow around 208.5 days?
https://access.redhat.com/site/solutions/68466

しかし、上記の不具合を修正したカーネルには落とし穴があったようです。(誰も話題にしないので、注意喚起の意味で URL を貼っておきます。)

Systems with Intel® Xeon® Processor E5 hung after upgrade of Red Hat Enterprise Linux 6
https://access.redhat.com/site/solutions/433883

手元の VMware Player 上で 4 VCPU を割り当てた CentOS 6 32bit 環境において、 TSC の書き換えにより連続稼働をエミュレートするという方法で再現試験を行った限りでは、この不具合の再現率は100%のように見受けられます。

Intel Xeon E5 は業務用サーバとして広く使われていると思いますので、油断していると襲われますよ〜。

posted by 熊猫さくら at 23:51| Comment(6) | TrackBack(0) | Linux

2013年06月02日

やっと使われ始めた多段階認証?

2段階認証を使おう〜「Microsoft」「Google」「Yahoo! JAPAN」「Facebook」という記事を見て、ケロちゃんチェックを思い出した人は手を挙げて〜。(笑)

6年半前にスラドの記事になった時には、携帯電話まで巻き込むのはどうなのよ的な意見もありましたが、時は流れてスマホが普及し、実際に認証のためのデバイスとして使われ始めてきているんですね。

一方、セキュア OS そのものは・・・相変わらず、陽が当らないですねぇ。

posted by 熊猫さくら at 20:51| Comment(0) | TrackBack(0) | TOMOYO Linux

2013年02月24日

Firefox の submit 前の確認ダイアログはもう存在しない

うっかり誤送信を防ぐのに役立ってくれていた、 about:config ページの security.warn_submit_insecure オプションは削除されたとのこと。

https://bugzilla.mozilla.org/show_bug.cgi?id=844441

本来は、 https:// であっても submit 前の確認ダイアログを表示してくれても良いくらいなのに。

Enter キー入力前の候補表示機能のような、間違いに気づく暇を与えない機能により、うっかり漏洩がどんどんおこりやすい状況になってきているなぁ。(泣)

posted by 熊猫さくら at 10:39| Comment(0) | TrackBack(0) | Windows

2013年02月14日

AKARI 1.0.30 / CaitSith 0.1.9 が公開されました。

AKARI と CaitSith を同時に使えるようになりました。 LSM フックを見つける部分が別ファイルに切り出されたので、類似したモジュールを作る際に再利用しやすくなりました。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2013-February/000989.html

posted by 熊猫さくら at 23:32| Comment(0) | TrackBack(0) | CaitSith

2012年12月25日

CaitSith 0.1.7 が公開されました。

ポリシーのパーサを書き直して、柔軟な条件式を指定できるようになりました。また、メインライン提案への準備として AKARI と同様にLSMに対応した完全なカーネルモジュールとしてもコンパイルできるようにしました。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2012-December/000979.html

posted by 熊猫さくら at 20:24| Comment(0) | TrackBack(0) | CaitSith

2012年11月11日

Linux Security Modules に変化の兆しが出てきました。

いろいろと Linux 利用者を悩ませてきたLSMですが、変化の時が近づきつつあるようです。

熊猫の9年間の試行錯誤を纏めて LinuxCon North America と Linux Security Summit で発表した、 ARIA ワールド満開(嘘)なプレゼン資料も貼っておきます。アクセス制御に興味のある方に読んでほしいなぁ。

posted by 熊猫さくら at 19:47| Comment(0) | TrackBack(0) | Linux

2012年10月20日

AKARI 1.0.28 (重要なバグフィックス)が公開されました。

AKARI 1.0.27 以前をカーネル 2.6.28 以前( RHEL 4/5 などが該当)で使用している場合、ある種のプログラムを実行した後にカーネルパニックが発生するという不具合が見つかりました。この問題は悪意が無くとも発生するので、攻撃される心配のない安全な環境で解析用途で使用している場合であっても、アップデートするようにしてください。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2012-October/000975.html

posted by 熊猫さくら at 22:53| Comment(0) | TrackBack(0) | AKARI

2012年07月15日

Microsoft Office から PDF 形式で保存する場合に注意すること

Office 2007 にはプライバシー情報を削除する機能が搭載されていますが、公開用に PDF 形式で保存する場合、その機能を利用しても埋め込みオブジェクトのパス名など削除されない情報があります。

PDF 形式で保存する( http://www.atmarkit.co.jp/fwin2k/win2ktips/908offpdf/offpdf.html )際に、ファイル名を指定するダイアログに表示されている「オプション」ページを開き、「アクセシビリティ用のドキュメント構造タグ」チェックを外すと削除されるようです。

pdf-options.png

なんというか、「攻撃者のためのアクセシビリティ用のドキュメント構造タグ」あるいは「情報漏えい促進のためのドキュメント構造タグ」と呼んだ方が正確かも?

http://forums.adobe.com/thread/405476

posted by 熊猫さくら at 09:57| Comment(0) | TrackBack(0) | Windows

2012年06月20日

CaitSith という名前の由来について

LinuxCon North America 2012 で CaitSith の発表をすることになったので、ドキュメントの整備と動作テストが終わってから書こうと思っていた記事を投入します。

今までのアクセス制限モジュールはプロセスの視点からルールを書くため、特定のプロセスの動作を制限するルールを書くことは簡単でした。しかし、特定の資源へのアクセスを制限するには全てのプロセスの動作を制限しなくてはならないため面倒でした。資源の視点からルールを書くことができれば、そんな必要も無くなります。 CaitSith はプロセス視点でも資源視点でもお好きなようにルールを書けるので、「でっかい自分ルール」を実現できます。

さらに、 CaitSith ではホワイトリスト方式だけでなくブラックリスト方式でルールを書くこともできるようになっており、デフォルトでは許可も拒否もしない「あらあらうふふ」状態な動作をします。

最初は TOMOYO 1.9 にするつもりでしたが、だんだん変更点が大きくなってきたので TOMOYO 3.0 にすることも考えました。しかし、考え方や使い方があまりにも違うので、そのまま TOMOYO という名称を付けると混乱すると判断し、新しい名前を割り当てることにしました。

サクッと1時間ほど考えて、最初は "Access Limiter Implementation Checking Interested Attributes" "Access Limiter Implementation Checking Interested Actions" "Access Limiter Implementation Checking In-kernel Attributes" の何れかの頭文字となる ALICIA さんにしようと決めました。しかし、「 Linux ALICIA 」で検索したところ、既に "Advanced LInux Crash-dump Interactive Analyzer" の略としての ALICIA さんが存在しており、しかも同じ Linux カーネルという分野なので、これでは無理だと判断しました。

そこでまた1時間ほど考えて、 "Characteristic action inspection tool. See if this helps." "Characteristic access inspection tool. See if this helps." "Characteristic access inspector to See if this helps." の何れかの頭文字となる CaitSith さんにしようと決めました。制限したい操作だけを制限するので、セキュリティの専門家には不人気かと思いますが、セキュリティの専門家ではない利用者からの需要はあるかもしれないので、調査の意味合いを込めて See if this helps. になりました。

posted by 熊猫さくら at 17:14| Comment(0) | TrackBack(0) | CaitSith

2012年05月30日

Fedora 17 ネットワークインストール時の注意点

Fedora 17 のネットワークインストーラは、環境によっては「次へ」ボタンが表示されないことがあるようです。以下は熊猫の PC 上の VMware Workstation 上に Fedora-17-i386-netinst.iso からインストールしようとした時の画面です。
fedora17-net-installer.png
画面外には表示されているので、 Tab キーを使ってフォーカスを移動してください。

以下は同じ条件で Fedora-17-i686-Live-Desktop.iso からインストールしようとした時の画面です。
fedora17-live-installer.png

どうしても最小インストールをしたいと言うのでなければ、 Live 版を使う方が正解かと思います。

https://bugzilla.redhat.com/show_bug.cgi?id=826351

posted by 熊猫さくら at 21:19| Comment(0) | TrackBack(0) | Linux