SELinuxのセキュリティコンテキスト
提供: セキュリティ
スポンサーリンク
SELinux では、プロセス(SELinuxのサブジェクト)とオブジェクトにSELinux セキュリティコンテキスト(Security Context)というラベルを付与します。
読み方
- セキュリティコンテキスト
- せきゅりてぃ こんてきすと
- Security Context
- せきゅりてぃ こんてきすと
概要
SELinux では、プロセス(SELinuxのサブジェクト)とオブジェクトにSELinux セキュリティコンテキスト(Security Context)というラベルを付与します。 セキュリティコンテキストは、「セキュリティラベル」としても知られています。
SELinux においては、セキュリティコンテキストは、 以下のようにSELinux ユーザ、ロール、タイプ識別子、オプショナルの MCS/MLS セキュリティレベルを定義する可変長の文字列で表現されます。
user:role:type[:level]
| 項目 | 説明 |
|---|---|
| user | SELinux ユーザ識別子。SELinuxユーザに使用を許可する1つ以上のロールが関連付けることができます。 |
| role | SELinux ロール。 SELinux ユーザにアクセスを許可する1つ以上のタイプに関連付けることができます。 |
| type | タイプをプロセスに関連付けるとき、 SELinux ユーザ(サブジェクト)がアクセスできるプロセス(もしくは、ドメイン)を定義します。。タイプをオブジェクトに関連付けるとき、SELinux ユーザのオブジェクトに対するアクセスパーミッションを定義します。 |
| level | range として知られるオプショナルのフィールドです。ポリシーがMCS/MLSをサポートします。このエントリは、以下で構成されます。
これらのコンポーネントは、SELinuxのセキュリティレベル のセクションで説明します。 |
- ドメイン: プロセス
- タイプ: ファイル
使い方
以下は、セキュリティコンテキストを表示した例です。
$ id -Z unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 $ ls -Z /bin/bash -rwxr-xr-x. root root system_u:object_r:shell_exec_t:s0 /bin/bash $ ps -Z LABEL PID TTY TIME CMD unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 17772 pts/5 00:00:00 bash unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 18552 pts/5 00:00:00 ps $ sudo ls -Z /root/.bashrc -rw-r--r--. root root system_u:object_r:admin_home_t:s0 /root/.bashrc
セキュリティコンテキスト
- 誰 (Subject)、何(Object)、何を(Action) の識別子
- ファイル、プロセス、ユーザー、ソケットなどすべてに付与する
関連項目
ツイート
スポンサーリンク