名称
executable_stack ― プログラムスタックをデフォルトで実行可能にするかどうかの制御
説明
この調整パラメータは、プログラムスタックをデフォルトで実行可能にするかどうかを制御します。
これにより、システムパフォーマンスを犠牲にすることなく、スタックバッファーオーバーフロー攻撃に対する極力な防御を備えたシステムを構成できます。 このクラスの攻撃は一般的に、特権プログラムが不正なアクションを実行したり、不正なアクセス権を付与したりするよう仕向けるものです。
このタイプの攻撃の参考情報については、Web で「Smashing the Stack
for Fun and Profit」を検索してください。
HP-UX 上で実行されるプログラムのほとんどは、そのスタックにあるコードを実行する必要がありません。
ただし、少数のプログラム (特に一部のシミュレータ、インタプリタ、および古いバージョンの
Java) には、そのスタックからコードを実行する正当な理由を持つものがあります。
通常、そのようなプログラムには、自己修正コードが含まれます。 この調整パラメータと chatr コマンドの +es オプションを組み合わせて使用すると、そのような実行可能ファイルを、システムの他の部分に対する保護を犠牲にすることなく動作させることができます。
この調整パラメータの変更に関する情報については、 chatr(1) マンページの「スタック上の実行許可制限」の項を参照してください。
この調整パラメータの変更を行う対象ユーザー
すべてのユーザー。
変更に関する制限事項
この調整パラメータの変更は、変更後に起動した新規プロセスに対して有効になります。
この調整パラメータの値を変更する場合
この調整パラメータは、データ構造体のサイズや制限ではなく動作モードを制御します。
システムに最適な設定は、セキュリティや互換性をどの程度重視するかによって異なります。
値を 1 にした場合は、HP-UX の以前のリリースとの互換性はありますが、セキュリティは最も低くなります。この設定では、プログラムのスタックにある、潜在的に悪意のあるコードの実行が可能です。
値を 2 にすると、スタックにあるコードを実行しようとするすべてのプログラムについて警告が出されますが、プログラムの動作は変更されません。
不審なアクティビティは、カーネルのメッセージバッファーに記録されます dmesg(1M) を参照)。 これは、調整パラメータの値 0 を正当なアプリケーションに作用させるかどうかを安全に判断できるようにするための「トライアルモード」設定です。
高レベルのセキュリティが重視されるシステムでは、調整パラメータの値を 0 に設定することをお勧めします。
この設定は、基本的には、 2 に設定した場合と同じですが、さらに、スタックにあるコードを実行しようとするすべてのプロセスを終了させます。
この場合、プロセスは、潜在的に悪意のあるコードが実行される前に終了します。
この調整パラメータの値を変更した場合の影響
アプリケーションがスタックにある命令を実行しようとしない限り、この調整パラメータはシステムの動作にまったく影響しません。
ほとんどの HP-UX アプリケーションは、スタックにある命令を実行するようにはプログラムされていません。
同時に変更する必要がある他の調整パラメータ
ありません。
警告
HP-UX のカーネル調整パラメータはすべて、リリースごとに異なります。このパラメータは、HP-UX
の今後のリリースにおいて、削除されたり機能が変更される可能性があります。
HP 社または他のベンダーのカーネルソフトウェアをインストールすると、
カーネル調整パラメータが変更されることがあり、その場合、 インストール後に、カーネル調整パラメータがデフォルト値でも推奨値でも
ない値に設定されていることがあります。 カーネル調整パラメータの値への影響については、
インストールするカーネルソフトウェアのドキュメントを参照してください。
工場インストールされたカーネルソフトウェアについては、 http://docs.hp.com/ja の 『『HP-UX
リリースノート』』 を参照してください。
著者
executable_stack は、HP で開発されました。
\" index@executable_stack - プログラムスタックをデフォルトで実行可能にするかどうかの制御 @@@executable_stack(5)
印刷用画面へ 
