「SELinux」の版間の差分
提供: セキュリティ
細 |
|||
| 行2: | 行2: | ||
vim: filetype=mediawiki | vim: filetype=mediawiki | ||
--> | --> | ||
| − | [[SELinux]] は、[[ | + | [[SELinux]] は、[[Linuxカーネル]] に [[強制アクセス制御]] (MAC) 機能を付加するモジュールです。 |
読み方 | 読み方 | ||
| 行11: | 行11: | ||
== 概要 == | == 概要 == | ||
| − | [[SELinux]] は、[[ | + | [[SELinux]] は、[[Linuxカーネル]] に [[強制アクセス制御]] (MAC) 機能を付加するモジュールです。 |
[[Unix]] のシステムは、ディレクトリやファイルなどのリソースに対するアクセス制御は、パーミッションで行われます。 | [[Unix]] のシステムは、ディレクトリやファイルなどのリソースに対するアクセス制御は、パーミッションで行われます。 | ||
| 行35: | 行35: | ||
== インストール == | == インストール == | ||
| − | + | [[SELinux]] は、あらかじめインストールされている場合があります。 | |
* [[SELinux を Ubuntu にインストールする]] | * [[SELinux を Ubuntu にインストールする]] | ||
| − | |||
| − | == SELinux | + | {|class="wikitable" |
| + | |+ OSとSELinux | ||
| + | ! ディストリビューション | ||
| + | ! どのように入れるか | ||
| + | |- | ||
| + | | Red Hat Enterprise Linux (4+) | ||
| + | | デフォルト | ||
| + | |- | ||
| + | | CentOS | ||
| + | | デフォルト | ||
| + | |- | ||
| + | | Fedora (2+) | ||
| + | | デフォルト | ||
| + | |- | ||
| + | | Ubuntu | ||
| + | | インストール | ||
| + | |- | ||
| + | | Debian | ||
| + | | アドオン | ||
| + | |- | ||
| + | | Gentoo | ||
| + | | インストール | ||
| + | |} | ||
| + | |||
| + | == SELinux のモード == | ||
* [[SELinuxのモード]] | * [[SELinuxのモード]] | ||
| 行50: | 行73: | ||
** [[/etc/selinux/config]] | ** [[/etc/selinux/config]] | ||
**: 設定ファイル | **: 設定ファイル | ||
| + | |||
| + | == SELinux の設定 == | ||
| + | |||
| + | * [[SELinuxの設定ファイル]] | ||
| + | ** [[/etc/selinux/config]] | ||
== 監査ログ == | == 監査ログ == | ||
2013年6月8日 (土) 19:36時点における版
SELinux は、Linuxカーネル に 強制アクセス制御 (MAC) 機能を付加するモジュールです。
読み方
- SELinux
- えすぃーりなっくす
- Security-Enhanced Linux
- せきゅりてぃ えんはんすど りなっくす
目次
概要
SELinux は、Linuxカーネル に 強制アクセス制御 (MAC) 機能を付加するモジュールです。
Unix のシステムは、ディレクトリやファイルなどのリソースに対するアクセス制御は、パーミッションで行われます。 パーミッションは、オーナー、グループ、その他に対して、rwx(読み、書き、実行) を設定します。 root ユーザは、パーミッションの制限を受けることなく、あらゆるリソースにアクセスできるため、 Linux を含む Unix 系の OS では、 root ユーザに権限が集中し過ぎているといえます。 root ユーザのパスワードの漏えいは、致命的な被害を及ぼす可能性をもたらします。
SELinux では、以下の制限を設け、root ユーザの権限の集中を防ぎ、堅牢なシステム構築を目指しています。
- Teyp Enforcement (TE)
- プロセスごとのアクセス制御
- ロールベースアクセス制御(RBAC)
- rootユーザを含むすべてのユーザに制限をかける
SELinux の アクセス制御
- 強制アクセス制御 (MAC, Mandatory Access Control)
- 最小特権
- TE (Type Enforcement)
- ドメイン遷移
- ロールベースアクセス制御 (RBAC, Role Base Access Control)
- 監査ログ ( SELinuxの監査ログ )
インストール
SELinux は、あらかじめインストールされている場合があります。
| ディストリビューション | どのように入れるか |
|---|---|
| Red Hat Enterprise Linux (4+) | デフォルト |
| CentOS | デフォルト |
| Fedora (2+) | デフォルト |
| Ubuntu | インストール |
| Debian | アドオン |
| Gentoo | インストール |
SELinux のモード
- SELinuxのモード
- sestatus
- SELinux のステータスの確認
- getenforce
- 動作モードの確認
- setenforce
- 動作モードの変更
- /etc/selinux/config
- 設定ファイル
- sestatus
SELinux の設定
監査ログ
使い方
ファイルやディレクトリのセキュリティコンテキストの確認方法
$ ls -Z /etc/hosts.allow -rw-r--r--. root root system_u:object_r:etc_t:s0 /etc/hosts.allow
プロセスのコンテキスト。
$ ps axZ |fgrep auditd system_u:system_r:kernel_t:s0 467 ? S 0:01 [kauditd] unconfined_u:system_r:auditd_t:s0 16834 ? S<sl 0:00 auditd unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 17377 pts/7 S+ 0:00 fgrep auditd
コマンド
関連項目
- SELinux Policy Editor (SEEdit)
- SETroubleShoot