KaiGaiの俺メモ: mod_selinux
mod_selunuxで、ApacheとSELinuxのセキュリティコンテキストでの動作制限が出来るソフトだそうです
これって、SQLインジェクションに効果どころでなくて、システム全体として面白いと思うけどなぁ
BASIC認証からフォーム認証も出来るようになったらもっと面白いなぁ。
PerlモジュールとかJavaのServeletとかPHP(何 モジュールとかw
やっぱ、Kaigaiさんすげぇなぁ。
ApacheのBASIC認証と、SELinuxのsetexeccon()を組み合わせるモジュールを作成してみた。以下からダウンロードできる。
http://kaigai.sblo.jp/article/16275099.html
http://sepgsql.googlecode.com/files/mod_selinux-0.1-r906.i386.rpm
http://sepgsql.googlecode.com/files/mod_selinux-0.1-r906.src.rpm
ユーザによってSQLで出来る、出力される内容を限定させることができるそうです
SQLインジェクションが起こっても、影響を限定的に出来るって感じですね。
これの意味するところは、Webアプリのユーザに、OS/DBMS上での権限を完全に整合性を保った上で関連付けることができたということである。
http://kaigai.sblo.jp/article/16275099.html
今まで、SELinuxのデモをやっても、なかなか可視化が難しいというのが悩みどころだったが、これは使える。『SELinuxでSQLインジェクションにも効果アリ!』とかは、かなりインパクトがあると思いますぞ。
