「SELinuxのセキュリティコンテキスト」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> SELinux では、プロセス(SELinuxのサブジェクト)とオブジェクトにSELinux セキュリティコンテキ...」) |
|||
| 行54: | 行54: | ||
-rw-r--r--. root root system_u:object_r:admin_home_t:s0 /root/.bashrc | -rw-r--r--. root root system_u:object_r:admin_home_t:s0 /root/.bashrc | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| + | |||
| + | == セキュリティコンテキスト == | ||
| + | |||
| + | * 誰 (Subject)、何(Object)、何を(Action) の識別子 | ||
| + | * ファイル、プロセス、ユーザー、ソケットなどすべてに付与する | ||
| + | |||
== 関連項目 == | == 関連項目 == | ||
* [[SELinux]] | * [[SELinux]] | ||
2013年8月11日 (日) 19:20時点における版
SELinux では、プロセス(SELinuxのサブジェクト)とオブジェクトにSELinux セキュリティコンテキスト(Security Context)というラベルを付与します。
読み方
- セキュリティコンテキスト
- せきゅりてぃ こんてきすと
- Security Context
- せきゅりてぃ こんてきすと
概要
SELinux では、プロセス(SELinuxのサブジェクト)とオブジェクトにSELinux セキュリティコンテキスト(Security Context)というラベルを付与します。 セキュリティコンテキストは、「セキュリティラベル」としても知られています。
SELinux においては、セキュリティコンテキストは、 以下のようにSELinux ユーザ、ロール、タイプ識別子、オプショナルの MCS/MLS セキュリティレベルを定義する可変長の文字列で表現されます。
user:role:type[:level]
| 項目 | 説明 |
|---|---|
| user | SELinux ユーザ識別子。SELinuxユーザに使用を許可する1つ以上のロールが関連付けることができます。 |
| role | SELinux ロール。 SELinux ユーザにアクセスを許可する1つ以上のタイプに関連付けることができます。 |
| type | タイプをプロセスに関連付けるとき、 SELinux ユーザ(サブジェクト)がアクセスできるプロセス(もしくは、ドメイン)を定義します。。タイプをオブジェクトに関連付けるとき、SELinux ユーザのオブジェクトに対するアクセスパーミッションを定義します。 |
| level | range として知られるオプショナルのフィールドです。ポリシーがMCS/MLSをサポートします。このエントリは、以下で構成されます。
これらのコンポーネントは、SELinuxのセキュリティレベル のセクションで説明します。 |
使い方
以下は、セキュリティコンテキストを表示した例です。
$ id -Z unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 $ ls -Z /bin/bash -rwxr-xr-x. root root system_u:object_r:shell_exec_t:s0 /bin/bash $ ps -Z LABEL PID TTY TIME CMD unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 17772 pts/5 00:00:00 bash unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 18552 pts/5 00:00:00 ps $ sudo ls -Z /root/.bashrc -rw-r--r--. root root system_u:object_r:admin_home_t:s0 /root/.bashrc
セキュリティコンテキスト
- 誰 (Subject)、何(Object)、何を(Action) の識別子
- ファイル、プロセス、ユーザー、ソケットなどすべてに付与する