UNIX (ローカル)名前付きドメイン ソケット経由のローカル プロセス間通信の制限

capamsc141
注:
この機能は、エンドポイント管理 UI ではサポートされていません。
Privileged Access Manager
は、TCP 経由のプロセス間通信(IPC)を制御できるだけではなく、UNIX (またはローカル)名前付きドメイン ソケットを使用するローカル IPC を制限することもできます。
Privileged Access Manager
は、指定したソケット パスを使用して、ソケットに接続しようとするプロセスをインターセプトします。
Privileged Access Manager
ルールを作成して、UNIX_SOCKET クラスおよび接続(c)アクセスを使用したソケットへの接続を許可することができます。
この例では、ユーザ「root」のフル アクセス権限を有効化し、ユーザ「John」が docker コマンドを実行できるようにしています。docker コマンドは、ソケット パス /run/docker.sock を介したデフォルト通信として、UNIX ドメイン ソケットを使用し、docker デーモンと通信します。
so class+(UNIX_SOCKET)
nr UNIX_SOCKET /run/docker.sock owner(nobody) defaccess(none) audit(all)
auth UNIX_SOCKET /run/docker.sock uid(root) access(all)
auth UNIX_SOCKET /run/docker.sock uid(john) access(c)
ユーザ「John」は、docker のデフォルト ローカル通信を使用して docker コマンドを実行できるようになりました。例: sudo docker run hello-world。別のユーザ「Chris」はこのような docker コマンドを実行できず、root はすべての機能を保持します。