next up previous contents
Next: 12 プロセス間通信のアクセス制御:allowcom Up: SPDL仕様書 ver 2.1. Previous: 10 一時ファイルへのアクセス制御:allowtmp   Contents

Subsections

11 ネットワークアクセス制御:allownet

allownetは、ソケット、ポート番号、NIC, IPアドレスなど、ネットワークリソース へのアクセス制御を設定するものです。

11.1 ポートのアクセス制御

  1. 書式
    allownet -protocol protocol -port port number permission;
    protocol: tcp,udpが指定できます。カンマ区切りでtcp,udpのように書 くこともできます。
    port number: ポート番号を指定。数字および -1023,1024- ,および* が指定できます。カンマ区切りで数字を列挙できます。 permission: client またはserverを指定可能。カンマ区切 りで列挙可能。
  2. 意味
    TCP、UDPのサーバーまたはクライアントとして、指定されたポートで通 信することを許可。 -1023というポート番号は、allownetで指定されていない1023以下のポー ト番号全て。1024-は、allownetで指定されていない1024以上のポー ト全て。 *は、全てのポートを意味します。
  3. UDPサーバの設定について注意
    52 allownet -protocol udp -port xxx server;のように設定すると、その ドメインは、1024以上のポートを使ってクライアントとして振る舞うこ とも同時に許可されます。 
  4. domain httpd_t;
# TCP80,443を使ってサーバとして振る舞う
allownet -protocol tcp -port 80,443 server;
# TCP,UDP3306を使ってクライアントとして振る舞う
allownet -protocol tcp,udp 3306 client;

11.2 RAWソケットの利用

RAWソケットは、通信の盗聴などに利用されるため、利用を制限しなくてはなり ません。
  1. 書式
    allownet -protocol raw use;
    permission: clientserver 、 * がコンマ区切 り指定可能。
  2. 意味
    RAWソケットを使ったデータの受信(server)、送信(client)が許可され ます。

11.3 NIC(netif)またはIPアドレス(node)の利用制限

netifやnodeの利用制限ができます。なお、デフォルトで用意されているポリシ では、common-relaxed.spファイルにより、全ドメインに許可されてます。
  1. 書式
    1. allownet -protocol protocol -netif name of NIC permission;
      protocol: tcp,udp,raw、 * がカンマ区切りで指定可能。
      name of NIC: NICの名前(lo,eth0,eth1等)がカンマ区切り で指定可能
      permission: sendrecvがカンマ区切りで指 定可能
    2. allownet -protocol protocol -node address permission;
      protocol: tcp,udp,raw、 * がカンマ区切りで指定可能。
      address: ipv4address/netmask または * が カンマ区切りで指定可能
      例: 192.168.0.1/255.255.255.0。なお*は、全てのアドレスを 意味します.
      permission: send またはrecvをカンマ区切 りで指定可能。
  2. 意味
    1. NICを通してデータを送信、受信することを許可。
    2. IPアドレス宛にデータを送信、IPアドレスからデータを受信す ることを許可。 

  3. {
domain httpd_t;
allownet -protocol tcp  use;
allownet -protocol tcp -port 80 server;
allownet -netif eth0 send,recv;
}
--> httpd_tは80番ポートを通してサーバとして振る舞える。
eth0を通してパケットを送受信できる。
(lo0,eth1は使えない)


11.4 他ドメインからのソケット継承

他ドメインで動作するプロセスからソケットを継承して使う権限を与えます(滅 多にないことですが。。)
  1. 書式
    1. allownet -protocol protocol -domain domain use; protocol, tcp,udpをカンマ区切りで指定可能。

  2. 意味
    1. 他ドメインで動作するプロセスからソケットを継承することを 許可します。どのドメインから継承可能かをdomainで指 定します。domainとしてselfを指定することで、 自分自身が作成したソケットの利用権限を与えます(こちらはデ フォルトのポリシのcommon-relaxed.spで許可されてます) 
  3. domain foo_t;
# foo_tはUDPソケットをbar_tから継承可能
allownet -protocol udp -domain bar_t;
next up previous contents
Next: 12 プロセス間通信のアクセス制御:allowcom Up: SPDL仕様書 ver 2.1. Previous: 10 一時ファイルへのアクセス制御:allowtmp   Contents
Yuichi Nakamura 2006-12-27