で示されています。
-
RedHawk 実行時のケーパビリティ設定ファイルの違い(2022.05.18)
Version(uname -r)
5.10.59-rt52-RedHawk-8.4.1-trace
5.10.59-rt52-RedHawk-8.4.1-trace
4.14.126-rt62-RedHawk-8.0-trace
4.9.201-rt134-r32.5.1-RedHawk-7.5.5-trace
Base Distribution
RHEL8.4 またはクローン
Ubuntu20.04
Ubuntu18.04
Ubuntu18.04
CPU Architecuture
x86_64
x86_64
x86_64
ARM64
Pam Capability モジュール設定ファイル
/etc/security/access.conf
ログインアクセス制御ファイル
V
V
V
V /etc/security/capability.conf
pam_capabilityモジュール設定ファイル
V
V
V
V /etc/security/chroot.conf
chrootアクセス制御ファイル
V
/etc/security/console.apps
設定ディレクトリ
(*1)
V
/etc/security/console.apps/config-util
V
/etc/security/console.apps/nuu
RedHawkパッケージ更新ユーティリティ用
V
/etc/security/console.apps/subscription-manager
RHEL サブスクリプションマネージャ用
V
/etc/security/console.handlers
コンソールのロックおよびロック解除イベントのハンドラーを指定するファイル
V
/etc/security/console.perms
システムコンソールでのユーザーのケーパビリティ制御ファイル
V
/etc/security/console.perms.d
設定ディレクトリ
*1
V
/etc/security/faillock.conf
ログイン認証を失敗したユーザーをロックする設定ファイル
V
V
V /etc/security/group.conf
ログイングループに与えられるケーパビリティの設定ファイル
V
V
V
V /etc/security/limits.conf
ログインユーザごとのリソースを制限する設定ファイル
V
V
V
V /etc/security/limits.d
設定ディレクトリ
*1
V
V
V
V /etc/security/namespace.conf
プライベート名前空間の設定ファイル
V
V
V
V /etc/security/namespace.d
設定ディレクトリ
*1
V
V
V
V /etc/security/namespace.init
プライベート名前空間を初期化するシェルスクリプト
V
V
V
V /etc/security/opasswd
過去に使用したパスワードの再設定を制限する設定ファイル
V
V
V
V /etc/security/pam_env.conf
ログイン時、このファイルが読み取られそれに応じて環境変数が設定されます。
V
V
V
V /etc/security/pwquality.conf
パスワード強度チェックを設定する設定ファイル
V
/etc/security/pwquality.conf.d
設定ディレクトリ
*1
V
V
V
V /etc/security/sepermit.conf
SELinuxの実施状態に応じてログインを許可/拒否するPAMモジュールの設定ファイル
V
V
V
V /etc/security/time.conf
時間、日、またはさまざまな端末を介したシステムや特定のアプリケーションへのアクセスを制限するモジュールの設定ファイル
V
V
V
V
PAM 構成ファイル
構成ファイル名がコマンドとオプションで示されている
/etc/pam.d/atd
V
/etc/pam.d/chfn
V
V
V
V /etc/pam.d/chpasswd
V
V
V /etc/pam.d/chsh
V
V
V
V /etc/pam.d/cockpit
V
/etc/pam.d/config-util
V
/etc/pam.d/common-account
Ubuntu用共通ファイル
V
V
V /etc/pam.d/common-auth
Ubuntu用共通ファイル
V
V
V /etc/pam.d/common-password
Ubuntu用共通ファイル
V
V
V /etc/pam.d/common-session
Ubuntu用共通ファイル
V
V
V /etc/pam.d/common-session-noninteractive
Ubuntu用共通ファイル
V
V
V /etc/pam.d/crond
V
/etc/pam.d/cron
V
V
V /etc/pam.d/cups
V
V
V
/etc/pam.d/fingerprint-auth
V
/etc/pam.d/gdm-autologin
V
V
V
V /etc/pam.d/gdm-fingerprint
V
V
V
V /etc/pam.d/gdm-launch-environment
V
V
V
V /etc/pam.d/gdm-password
V
V
V
V /etc/pam.d/gdm-pin
V
/etc/pam.d/gdm-smartcard
RHELおよびクローン用多用途認証ファイル
V
/etc/pam.d/gnome-screensaver
V
V /etc/pam.d/lightdm
lightdmインストール時
lightdmインストール時
V /etc/pam.d/lightdm-autologin
lightdmインストール時
lightdmインストール時
V /etc/pam.d/lightdm-greeter
lightdmインストール時
lightdmインストール時
V /etc/pam.d/login
V
V
V
V /etc/pam.d/newusers
V
V
V /etc/pam.d/nuu
RedHawkパッケージ更新ユーティリティ用
V
/etc/pam.d/other
V
V
V
V /etc/pam.d/passwd
V
V
V
V /etc/pam.d/password-auth
V
/etc/pam.d/pluto
V
/etc/pam.d/polkit-1
V
V
V
V /etc/pam.d/postlogin
V
/etc/pam.d/ppp
V
V
V
V /etc/pam.d/remote
V
/etc/pam.d/runuser
V
V
V
V /etc/pam.d/runuser-l
V
V
V
V /etc/pam.d/smartcard-auth
V
/etc/pam.d/sshd
V
V
V
V /etc/pam.d/sssd-shadowutils
V
/etc/pam.d/su
V
V
V
V /etc/pam.d/subscription-manager
RHEL サブスクリプションマネージャ用
V
/etc/pam.d/sudo
V
V
V
V /etc/pam.d/sudo-i
V
/etc/pam.d/su-l
V
V
/etc/pam.d/system-auth
V
/etc/pam.d/systemd-user
V
V
V
V /etc/pam.d/tigervnc
V
/etc/pam.d/unity
V /etc/pam.d/vlock
V
/etc/pam.d/vmtoolsd
V
/etc/pam.d/xscreensaver
V
V /etc/pam.d/xserver
V
ケーパビリティを設定されたコマンド
(*2)
/usr/bin/gnome-keyring-daemon(*3)
cap_ipc_lock+ep
cap_ipc_lock+ep
cap_ipc_lock+ep
/usr/bin/newgidmap(*4)
cap_setgid+ep
/usr/bin/newuidmap(*5)
cap_setuid+ep
/snap/core*/*/usr/bin/ping(*6)
cap_net_raw+ep
cap_net_raw+ep
/usr/bin/ping(*7)
cap_net_admin,cap_net_raw+p
cap_net_raw+ep
/usr/sbin/arping(*8)
cap_net_raw+p
/usr/sbin/clockdiff(*9)
cap_net_raw+p
mtr-packet(*10)
/usr/sbin/mtr-packet
cap_net_raw+ep
/usr/bin/mtr-packet
cap_net_raw+ep
/usr/bin/mtr-packet
cap_net_raw+ep
/usr/bin/traceroute6.iputils(*11)
cap_net_raw+ep
/usr/sbin/suexec(*12)
cap_setgid,cap_setuid+ep
gst-ptp-helper(*13)
gstreamerパッケージインストール時(*14)
/usr/lib/x86_64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper
cap_net_bind_service,cap_net_admin+ep
/usr/lib/x86_64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper
cap_net_bind_service,cap_net_admin+ep
/usr/lib/aarch64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper
cap_net_bind_service,cap_net_admin+ep
(*1) 設定ディレクトリが存在する場合、最初に設定ディレクトリからすべての*.confファイルをASCIIでソートされた順序で読み取りその後、設定ファイルを読み取ります。
同じ設定の値は、ファイルが解析される順序でオーバーライドされます。
(*2) フラグは大文字と小文字が区別され、それぞれe:有効(Effective)、i:継承可能(Inheritable)、およびp:許可(Permitted)されたセットを意味し、'+'演算子は、フラグが立てられた機能セットにリストされているすべての機能を起動します。
+epは、誰れでも付加された機能で実行することを意味しますが、機能を継承することは出来ません。
+pは、機能を(別の方法で)許可されたユーザは実行出来ますが、その他のユーザは実行出来ません。
(*3) gnome-keyring-daemonは、 パスワードとシークレットを保存するサービスです。通常、ユーザーがデスクトップセッションにログインすると自動的に開始されます。
(*4) (コンテナ等に利用される)ユーザー名前空間のgidマッピング(/proc/[pid]/gid_map)を設定します。
(*5) (コンテナ等に利用される)ユーザー名前空間のuidマッピング(/proc/[pid]/uid_map)を設定します。
(*6) snapによりloopデバイスとしてReadOnlyマウントされた、/usr/bin/ping
(*7) net.ipv4.ping_group_range カーネルパラメータでICMP Echo ソケットを作成できるグループの範囲を設定できます。
このグループ範囲内であれば、CAP_NET_RAW機能がなくても、pingが実行可能になります。
但し、Linux Kernel 5.9-rc4 未満ではCAP_NET_RAW を持っていると機能昇格ができる脆弱性(CVE-2020-14386)が存在するため、RedHawk8.4未満のOSでは利用しない事を奨励します。
デフォルトの値は、"1 0"で、root以外の誰もIPPROTO_ICMPソケットを作成できないことを意味します。
gidが100のグループのみが利用できるように設定するためには、100 100を設定します。
システム上のすべてのユーザを利用可能になるためには、"0 2147483647"を設定します。
参考例:
4.9.201-rt134-r32.5.1-RedHawk-7.5.5: net.ipv4.ping_group_range = 1 0
5.10.59-rt52-RedHawk-8.4-trace : net.ipv4.ping_group_range = 0 2147483647
(*8) ARPパケットによってpingを実行します。
(*9) ICMP TIMESTAMPパケット、またはIPTIMESTAMPを使用して、ホストマシンの時刻と、引き数で指定したマシンの時刻の差を計算します。
(*10) mtrは、「traceroute」および「ping」プログラムの機能を単一のネットワーク診断ツールに統合します。
mtrが開始されると、mtrが実行されているホストとユーザー指定の宛先ホストとの間のネットワーク接続が調査されます。
その後、マシン間の各ネットワークホップのアドレスを決定し、一連のICMPエコー要求を各マシンに送信して、各マシンへのリンクの品質を決定します。
これを実行している間、各マシンに関する実行統計を出力します。
(*11) ネットワークホストへのパスをトレースします。実行にはCAP_NET_RAW機能が必要です。
(*12) suexec 機能により、Apache ユーザは Web サーバを実行しているユーザ ID とは 異なるユーザ ID で CGI プログラムや SSI プログラムを実行することができます。
適切に使用すると、この機能によりユーザが個別の CGI や SSI プログラムを開発し実行することで生じるセキュリティ上の危険を、 かなり減らすことができますが、suexec の設定が不適切だと、 多くの問題が生じ、あなたのコンピュータに新しいセキュリティホールを 作ってしまう可能性があります。
(*13) gstreamerパッケージの一部
(*14) RHEL およびクローンでは、gstreamer1-1.16.1-2.el8以降を利用する事を奨励します。
![[back]](images/back.gif)
Back
| Version(uname -r) | 5.10.59-rt52-RedHawk-8.4.1-trace | 5.10.59-rt52-RedHawk-8.4.1-trace | 4.14.126-rt62-RedHawk-8.0-trace | 4.9.201-rt134-r32.5.1-RedHawk-7.5.5-trace |
|---|---|---|---|---|
| Base Distribution | RHEL8.4 またはクローン | Ubuntu20.04 | Ubuntu18.04 | Ubuntu18.04 |
| CPU Architecuture | x86_64 | x86_64 | x86_64 | ARM64 |
| Pam Capability モジュール設定ファイル | ||||
| /etc/security/access.conf ログインアクセス制御ファイル |
V | V | V | V |
| /etc/security/capability.conf pam_capabilityモジュール設定ファイル |
V | V | V | V |
| /etc/security/chroot.conf chrootアクセス制御ファイル |
V | |||
| /etc/security/console.apps 設定ディレクトリ (*1) |
V | |||
| /etc/security/console.apps/config-util | V | |||
| /etc/security/console.apps/nuu RedHawkパッケージ更新ユーティリティ用 |
V | |||
| /etc/security/console.apps/subscription-manager RHEL サブスクリプションマネージャ用 |
V | |||
| /etc/security/console.handlers コンソールのロックおよびロック解除イベントのハンドラーを指定するファイル |
V | |||
| /etc/security/console.perms システムコンソールでのユーザーのケーパビリティ制御ファイル |
V | |||
| /etc/security/console.perms.d 設定ディレクトリ *1 |
V | |||
| /etc/security/faillock.conf ログイン認証を失敗したユーザーをロックする設定ファイル |
V | V | V | |
| /etc/security/group.conf ログイングループに与えられるケーパビリティの設定ファイル |
V | V | V | V |
| /etc/security/limits.conf ログインユーザごとのリソースを制限する設定ファイル |
V | V | V | V |
| /etc/security/limits.d 設定ディレクトリ *1 |
V | V | V | V |
| /etc/security/namespace.conf プライベート名前空間の設定ファイル |
V | V | V | V |
| /etc/security/namespace.d 設定ディレクトリ *1 |
V | V | V | V |
| /etc/security/namespace.init プライベート名前空間を初期化するシェルスクリプト |
V | V | V | V |
| /etc/security/opasswd 過去に使用したパスワードの再設定を制限する設定ファイル |
V | V | V | V |
| /etc/security/pam_env.conf ログイン時、このファイルが読み取られそれに応じて環境変数が設定されます。 |
V | V | V | V |
| /etc/security/pwquality.conf パスワード強度チェックを設定する設定ファイル |
V | |||
| /etc/security/pwquality.conf.d 設定ディレクトリ *1 |
V | V | V | V |
| /etc/security/sepermit.conf SELinuxの実施状態に応じてログインを許可/拒否するPAMモジュールの設定ファイル |
V | V | V | V |
| /etc/security/time.conf 時間、日、またはさまざまな端末を介したシステムや特定のアプリケーションへのアクセスを制限するモジュールの設定ファイル |
V | V | V | V |
| PAM 構成ファイル 構成ファイル名がコマンドとオプションで示されている |
||||
| /etc/pam.d/atd | V | |||
| /etc/pam.d/chfn | V | V | V | V |
| /etc/pam.d/chpasswd | V | V | V | |
| /etc/pam.d/chsh | V | V | V | V |
| /etc/pam.d/cockpit | V | |||
| /etc/pam.d/config-util | V | |||
| /etc/pam.d/common-account Ubuntu用共通ファイル |
V | V | V | |
| /etc/pam.d/common-auth Ubuntu用共通ファイル |
V | V | V | |
| /etc/pam.d/common-password Ubuntu用共通ファイル |
V | V | V | |
| /etc/pam.d/common-session Ubuntu用共通ファイル |
V | V | V | |
| /etc/pam.d/common-session-noninteractive Ubuntu用共通ファイル |
V | V | V | |
| /etc/pam.d/crond | V | |||
| /etc/pam.d/cron | V | V | V | |
| /etc/pam.d/cups | V | V | V | |
| /etc/pam.d/fingerprint-auth | V | |||
| /etc/pam.d/gdm-autologin | V | V | V | V |
| /etc/pam.d/gdm-fingerprint | V | V | V | V |
| /etc/pam.d/gdm-launch-environment | V | V | V | V |
| /etc/pam.d/gdm-password | V | V | V | V |
| /etc/pam.d/gdm-pin | V | |||
| /etc/pam.d/gdm-smartcard RHELおよびクローン用多用途認証ファイル |
V | |||
| /etc/pam.d/gnome-screensaver | V | V | ||
| /etc/pam.d/lightdm | lightdmインストール時 | lightdmインストール時 | V | |
| /etc/pam.d/lightdm-autologin | lightdmインストール時 | lightdmインストール時 | V | |
| /etc/pam.d/lightdm-greeter | lightdmインストール時 | lightdmインストール時 | V | |
| /etc/pam.d/login | V | V | V | V |
| /etc/pam.d/newusers | V | V | V | |
| /etc/pam.d/nuu RedHawkパッケージ更新ユーティリティ用 |
V | |||
| /etc/pam.d/other | V | V | V | V |
| /etc/pam.d/passwd | V | V | V | V |
| /etc/pam.d/password-auth | V | |||
| /etc/pam.d/pluto | V | |||
| /etc/pam.d/polkit-1 | V | V | V | V |
| /etc/pam.d/postlogin | V | |||
| /etc/pam.d/ppp | V | V | V | V |
| /etc/pam.d/remote | V | |||
| /etc/pam.d/runuser | V | V | V | V |
| /etc/pam.d/runuser-l | V | V | V | V |
| /etc/pam.d/smartcard-auth | V | |||
| /etc/pam.d/sshd | V | V | V | V |
| /etc/pam.d/sssd-shadowutils | V | |||
| /etc/pam.d/su | V | V | V | V |
| /etc/pam.d/subscription-manager RHEL サブスクリプションマネージャ用 |
V | |||
| /etc/pam.d/sudo | V | V | V | V |
| /etc/pam.d/sudo-i | V | |||
| /etc/pam.d/su-l | V | V | ||
| /etc/pam.d/system-auth | V | |||
| /etc/pam.d/systemd-user | V | V | V | V |
| /etc/pam.d/tigervnc | V | |||
| /etc/pam.d/unity | V | |||
| /etc/pam.d/vlock | V | |||
| /etc/pam.d/vmtoolsd | V | |||
| /etc/pam.d/xscreensaver | V | V | ||
| /etc/pam.d/xserver | V | |||
| ケーパビリティを設定されたコマンド (*2) |
||||
| /usr/bin/gnome-keyring-daemon(*3) | cap_ipc_lock+ep | cap_ipc_lock+ep | cap_ipc_lock+ep | |
| /usr/bin/newgidmap(*4) | cap_setgid+ep | |||
| /usr/bin/newuidmap(*5) | cap_setuid+ep | |||
| /snap/core*/*/usr/bin/ping(*6) | cap_net_raw+ep | cap_net_raw+ep | ||
| /usr/bin/ping(*7) | cap_net_admin,cap_net_raw+p | cap_net_raw+ep | ||
| /usr/sbin/arping(*8) | cap_net_raw+p | |||
| /usr/sbin/clockdiff(*9) | cap_net_raw+p | |||
| mtr-packet(*10) | /usr/sbin/mtr-packet cap_net_raw+ep |
/usr/bin/mtr-packet cap_net_raw+ep |
/usr/bin/mtr-packet cap_net_raw+ep |
|
| /usr/bin/traceroute6.iputils(*11) | cap_net_raw+ep | |||
| /usr/sbin/suexec(*12) | cap_setgid,cap_setuid+ep | |||
| gst-ptp-helper(*13) | gstreamerパッケージインストール時(*14) | /usr/lib/x86_64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper cap_net_bind_service,cap_net_admin+ep |
/usr/lib/x86_64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper cap_net_bind_service,cap_net_admin+ep |
/usr/lib/aarch64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper cap_net_bind_service,cap_net_admin+ep |
(*1) 設定ディレクトリが存在する場合、最初に設定ディレクトリからすべての*.confファイルをASCIIでソートされた順序で読み取りその後、設定ファイルを読み取ります。
同じ設定の値は、ファイルが解析される順序でオーバーライドされます。
(*2) フラグは大文字と小文字が区別され、それぞれe:有効(Effective)、i:継承可能(Inheritable)、およびp:許可(Permitted)されたセットを意味し、'+'演算子は、フラグが立てられた機能セットにリストされているすべての機能を起動します。
+epは、誰れでも付加された機能で実行することを意味しますが、機能を継承することは出来ません。
+pは、機能を(別の方法で)許可されたユーザは実行出来ますが、その他のユーザは実行出来ません。
(*3) gnome-keyring-daemonは、 パスワードとシークレットを保存するサービスです。通常、ユーザーがデスクトップセッションにログインすると自動的に開始されます。
(*4) (コンテナ等に利用される)ユーザー名前空間のgidマッピング(/proc/[pid]/gid_map)を設定します。
(*5) (コンテナ等に利用される)ユーザー名前空間のuidマッピング(/proc/[pid]/uid_map)を設定します。
(*6) snapによりloopデバイスとしてReadOnlyマウントされた、/usr/bin/ping
(*7) net.ipv4.ping_group_range カーネルパラメータでICMP Echo ソケットを作成できるグループの範囲を設定できます。
このグループ範囲内であれば、CAP_NET_RAW機能がなくても、pingが実行可能になります。
但し、Linux Kernel 5.9-rc4 未満ではCAP_NET_RAW を持っていると機能昇格ができる脆弱性(CVE-2020-14386)が存在するため、RedHawk8.4未満のOSでは利用しない事を奨励します。
デフォルトの値は、"1 0"で、root以外の誰もIPPROTO_ICMPソケットを作成できないことを意味します。
gidが100のグループのみが利用できるように設定するためには、100 100を設定します。
システム上のすべてのユーザを利用可能になるためには、"0 2147483647"を設定します。
参考例:
4.9.201-rt134-r32.5.1-RedHawk-7.5.5: net.ipv4.ping_group_range = 1 0
5.10.59-rt52-RedHawk-8.4-trace : net.ipv4.ping_group_range = 0 2147483647
(*8) ARPパケットによってpingを実行します。 (*9) ICMP TIMESTAMPパケット、またはIPTIMESTAMPを使用して、ホストマシンの時刻と、引き数で指定したマシンの時刻の差を計算します。
(*10) mtrは、「traceroute」および「ping」プログラムの機能を単一のネットワーク診断ツールに統合します。
mtrが開始されると、mtrが実行されているホストとユーザー指定の宛先ホストとの間のネットワーク接続が調査されます。
その後、マシン間の各ネットワークホップのアドレスを決定し、一連のICMPエコー要求を各マシンに送信して、各マシンへのリンクの品質を決定します。
これを実行している間、各マシンに関する実行統計を出力します。
(*11) ネットワークホストへのパスをトレースします。実行にはCAP_NET_RAW機能が必要です。
(*12) suexec 機能により、Apache ユーザは Web サーバを実行しているユーザ ID とは 異なるユーザ ID で CGI プログラムや SSI プログラムを実行することができます。
適切に使用すると、この機能によりユーザが個別の CGI や SSI プログラムを開発し実行することで生じるセキュリティ上の危険を、 かなり減らすことができますが、suexec の設定が不適切だと、 多くの問題が生じ、あなたのコンピュータに新しいセキュリティホールを 作ってしまう可能性があります。
(*13) gstreamerパッケージの一部
(*14) RHEL およびクローンでは、gstreamer1-1.16.1-2.el8以降を利用する事を奨励します。