1K-01
Unix Domainソケットとseccompを用いた強制アクセス制御実現の検討
○喜多陽花(お茶の水女子大),石川 裕,竹房あつ子(NII),小口正人(お茶の水女子大)
Linuxのセキュリティ機能を活用した強制アクセス制御を実現する認証・認可サーバとランタイムライブラリを提案する。アプリケーションはUnix Domainソケットを介してサーバに資源のオープンを依頼する。サーバは認証とアクセス権を検証して資源をオープンしそのファイルディスクリプタをsendmsg/recvmsgシステムコールの補助メッセージを通じて移送する。Linux seccompライブラリを用いてアプリケーションからの直接的なopen/socketシステムコールの利用を制限し、意図しない操作を防止する。この仕組みにより、認証されていないアプリや権限を持たないアプリの不正アクセスを防止する。