[debian-users:52999] Debian Stable/Lenny のバッファオーバーフロー対策

[canon <kame55-itasenpara123@xxxxxxxxxxxxx>]

こんにちは、mejikoです。いつもお世話になります。

昨日からカーネルのセキュリティーについていろいろ考えるようになり、何か対
策はないか考えています。

特に心配なのが、バッファオーバーフローについての対策です。アップデートす
ればすむ話ですが、もしそのアップデートがこないまでの間、どう対処してよい
か心配になったのです。

FedoraやCentOSでは「exec-shield」や「SELinux」で対応しているようです。
Ubuntuでは「AppArmor」を実装しているそうです。

Debianではどのようなバッファオーバーフロー対策ができるのだろうかと調べて
いくと、Debianの公式リポジトリではSELinuxとexec-shieldの二つが利用可能で
した。しかし後者は「Lenny」になく、次期リリース（テスト版）にパッチとし
て配布されていたので諦めました。（カーネルの再コンパイルは時間かかり、難
しそうです。また、新しいカーネルがでたときには、また作り直さないといけま
せん……）

ただ、カーネルの「randomize_va_space」が「2」となっていて、デフォで有効
になっていました。（これってバッファオーバーフロー対策に効果はあります
か？）


もう一方の「SELinux」（いわゆるセキュアOS）ですが、現在導入を検討してい
ます。

ただ心配なことがあります。メールサーバー「exim」についてです。Debianの公
式Wikiや「README」も読みましたが、eximのポリシーファイルが存在しません。
バグ報告もされています。

ポリシーファイルがなければ、無条件で拒否されてしまいますよね？（たぶん）
いったいどのように対処すればよいか心配です。

http://wiki.debian.org/SELinux/Setup#mailservers.28postfix.2BAC8-exim.2BAC8-etc.29


また、よくSELinuxのせいで動作しなくなるプログラムもあると聞きます。そこ
ら辺も心配です。（その都度SELinuxを無効化したりすることで解決していると
かありますけど）

もしこれ以外にバッファオーバーフロー対策としてやっていることがあればご
教示くだされば幸いです。（できればカーネルの再コンパイルの不要な
「SELinux」を使いたいのですが……。どうしてもカーネルの再コンパイルはした
くありません。）


以上、無茶な質問で申し訳ありません。よろしくおねがいします。



なお、Debianのバージョンは安定版（lenny/stable）の5.0.3 、カーネルのバー
ジョン　2.6.26-2-686 (Debian 2.6.26-19)な環境です。