SELinux CILを利用した不要なセキュリティポリシ削減手法

SELinuxを利用する際，個々のシステムには必要のない権限が許可されている汎用的なセキュリティポリシを利用する場合が多い．そこで，我々は，汎用的なポリシから不要なポリシを削減する手法を提案した．しかし，従来手法は，ポリシのソースファイルがない場合は適用不可であり，アトリビュートを含むポリシに対応していない．また，ログ収集とポリシ削減期間において，同一ポリシにより許可されたアクセスのログが出力され続け，オーバヘッドが大きい．さらに，baseモジュール内の不要なポリシを削減できない．本論文では，これらの問題に対処するため，従来手法を拡張した手法を提案する．提案手法では，中間言語であるSELinux CILで記述されたファイルに着目し，ポリシを削減する．また，アトリビュートを考慮し，細粒度でポリシを削減する．さらに，1度変換されたポリシに関するauditallowをポリシから削減することで，オーバヘッドを抑える．最後に，typeattributesetを置き換えることで，baseモジュールに変更を加えずに不要なポリシを削減する．本論文では，ポリシ削減の評価やApache Struts2の脆弱性を用いた攻撃防止実験により，提案手法の有効性を示す．

Application of SELinux involves incorporating a general security policy that permits redundant privileges for individual systems. Hence, we previously proposed a method that eliminates redundant policies from the general policy. However, the said method cannot be applied when there is no policy source file or policies include an attribute that is not supported. During eliminating policies period, the log of access permitted by a particular policy is continually produced as an output, and the associated overhead is large. Furthermore, redundant policies in the base module cannot be eliminated. To address these issues, we propose a new method that extends the previously proposed method. The new method involves the processing of files written in SELinux CIL (an intermediate language) for eliminating redundant policies. Additionally, the new method considers attributes and eliminates policies with fine granularity. The overhead is reduced by eliminating the auditallow statement associated with the policy once converted to the policy format from the policy. Furthermore, by replacing the typeattributeset statement, redundant policies can be eliminated without modifying the base module. In this study, the effectiveness of our method is demonstrated through evaluation of policy elimination and through an attack prevention experiment by incorporating the vulnerabilities in Apache Struts2.