Type Enforcement
提供: セキュリティ
スポンサーリンク
SELinux の Type Enforcement (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機能です。
読み方
- Type Enforcement
- たいぷ えんふぉーすめんと
概要
SELinux の Type Enforcement (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機能です。
- プロセス には、「ドメイン」のラベルを付与します。
- リソース には、「タイプ」のラベルを付与します。
「アクセスベクタ」とは、 「 「ドメイン」がタイプに対して、どのように操作を実行できるか」のアクセス権の設定をいいます。
ファイルやソケットなどのリソースは、約30種類のオブジェクトクラスをして定義されています。オブジェクトクラスごとにアクセスベクタを設定できます。
| 機能 | 説明 |
|---|---|
| read | 読み込み |
| write | 書き込み |
| create | 作成 |
| append | 追記 |
| getattr | 属性の取得 |
| rename | 名前の変更 |
| execute | 実行 |
| lock | ファイルのロック |
| 項目 | 説明 |
|---|---|
| filesystem | ファイルシステム |
| file | ファイル |
| dir | ディレクトリ |
| fd | ファイル記述子 |
| lnk_file | シンボリックリンク |
| socket | ソケット |
| tcp_socket | TCP ソケット |
| msg | メッセージキュー |
| system | システム関連 |
httpd プロセスは、 TCP ソケット (リソース) に対して、アドレスやポートの使用許可(アクセスベクタ) が必要です。
| 項目 | 説明 | 備考 |
|---|---|---|
| プロセス | httpd | |
| ドメイン | httpd_t | プロセスへのドメイン付与 |
| アクセスベクタ | name_bind | ポート番号を使用する |
| リソース | tcp_socket | TCP ソケット |
| タイプ | httpd_port_t | タイプの付与 |
TE の記述例は、以下の通りです。
allow httpd_t httpd_port_t:{tcp_socket}{name_bind}
ドメイン タイプ オブジェクトクラス アクセスベクタ
関連項目
ツイート
スポンサーリンク