「SELinux」の版間の差分
提供: セキュリティ
細 |
|||
行64: | 行64: | ||
=== SELinux を有効化する === | === SELinux を有効化する === | ||
+ | |||
+ | [[setenforce]] コマンドを使用します。 | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
% sudo setenforce 1 | % sudo setenforce 1 | ||
行70: | 行72: | ||
=== SELinux を無効化する === | === SELinux を無効化する === | ||
+ | [[setenforce]] コマンドを使用します。 | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
% sudo setenforce 0 | % sudo setenforce 0 | ||
行81: | 行84: | ||
=== SELinux の設定 === | === SELinux の設定 === | ||
− | SELinux の設定は、 /etc/selinux/config で行います。 | + | [[SELinux]] の設定は、 /etc/selinux/config で行います。 |
− | SELinux を有効にする。 | + | [[SELinux]] を有効にする。 |
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
SELINUX=enforcing | SELINUX=enforcing | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | SELinux を無効にする。 | + | [[SELinux]] を無効にする。 |
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
SELINUX=disable | SELINUX=disable | ||
行112: | 行115: | ||
* [[selinuxconlist]] | * [[selinuxconlist]] | ||
* [[secon]] | * [[secon]] | ||
+ | |||
+ | * [[sestatus]] | ||
+ | * [[getenforce]] | ||
+ | * [[setenforce]] | ||
+ | |||
+ | * [[setsebool]] | ||
== 関連項目 == | == 関連項目 == |
2013年6月7日 (金) 00:37時点における版
SELinux は、Linux カーネル に 強制アクセス制御 (MAC) 機能を付加するモジュールです。
読み方
- SELinux
- えすぃーりなっくす
- Security-Enhanced Linux
- せきゅりてぃ えんはんすど りなっくす
目次
概要
SELinux は、Linux カーネル に 強制アクセス制御 (MAC) 機能を付加するモジュールです。
Unix のシステムは、ディレクトリやファイルなどのリソースに対するアクセス制御は、パーミッションで行われます。 パーミッションは、オーナー、グループ、その他に対して、rwx(読み、書き、実行) を設定します。 root ユーザは、パーミッションの制限を受けることなく、あらゆるリソースにアクセスできるため、 Linux を含む Unix 系の OS では、 root ユーザに権限が集中し過ぎているといえます。 root ユーザのパスワードの漏えいは、致命的な被害を及ぼす可能性をもたらします。
SELinux では、以下の制限を設け、root ユーザの権限の集中を防ぎ、堅牢なシステム構築を目指しています。
- Teyp Enforcement (TE)
- プロセスごとのアクセス制御
- ロールベースアクセス制御(RBAC)
- rootユーザを含むすべてのユーザに制限をかける
インストール
SELinux は、OSに組み込まれています。
使い方
SELinux の動作状況を確認する
% getenforce
getenforce で表示されるモードの意味は、下記の通りです。
モード | 説明 |
---|---|
Enforcing | SELinux機能は有効でアクセス制御も有効です。 |
Permissive | SElinuxはwarningを出すが、アクセス制限は行われません。 |
disabled | SElinux機能・アクセス制御ともに無効です |
sestatus は、 SELinux ステータスツールです。
$ sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: error (Success) Policy version: 24 Policy from config file: targeted
SELinux を有効化する
setenforce コマンドを使用します。
% sudo setenforce 1
SELinux を無効化する
setenforce コマンドを使用します。
% sudo setenforce 0
SELinux の設定ファイル
SELinux の設定ファイルは、 /etc/selinux/config です。 /etc/sysconfig/selinux は、 /etc/selinux/config へのシンボリックリンクです。
SELinux の設定
SELinux の設定は、 /etc/selinux/config で行います。
SELinux を有効にする。
SELINUX=enforcing
SELinux を無効にする。
SELINUX=disable
ファイルやディレクトリのセキュリティコンテキストの確認方法
$ ls -Z /etc/hosts.allow -rw-r--r--. root root system_u:object_r:etc_t:s0 /etc/hosts.allow
プロセスのコンテキスト。
$ ps axZ |fgrep auditd system_u:system_r:kernel_t:s0 467 ? S 0:01 [kauditd] unconfined_u:system_r:auditd_t:s0 16834 ? S<sl 0:00 auditd unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 17377 pts/7 S+ 0:00 fgrep auditd