Type Enforcement

提供: セキュリティ
2013年6月8日 (土) 16:30時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「<!-- vim: filetype=mediawiki --> SELinux の [[{{PAGENAME}}]] (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

SELinuxType Enforcement (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機能です。

読み方

Type Enforcement
たいぷ えんふぉーすめんと

概要

SELinuxType Enforcement (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機能です。

  • プロセス には、「ドメイン」のラベルを付与します。
  • リソース には、「タイプ」のラベルを付与します。

「アクセスベクタ」とは、 「 「ドメイン」がタイプに対して、どのように操作を実行できるか」のアクセス権の設定をいいます。

ファイルやソケットなどのリソースは、約30種類のオブジェクトクラスをして定義されています。オブジェクトクラスごとにアクセスベクタを設定できます。

ファイル関連のアクセスベクタの例
機能 説明
read 読み込み
write 書き込み
create 作成
append 追記
getattr 属性の取得
rename 名前の変更
execute 実行
lock ファイルのロック


オブジェクトクラスの例
項目 説明
filesystem ファイルシステム
file ファイル
dir ディレクトリ
fd ファイル記述子
lnk_file シンボリックリンク
socket ソケット
tcp_socket TCP ソケット
msg メッセージキュー
system システム関連


httpd プロセスは、 TCP ソケット (リソース) に対して、アドレスやポートの使用許可(アクセスベクタ) が必要です。


項目 説明 備考
プロセス httpd
ドメイン httpd_t プロセスへのドメイン付与
アクセスベクタ name_bind ポート番号を使用する
リソース tcp_socket TCP ソケット
タイプ httpd_port_t タイプの付与

TE の記述例は、以下の通りです。

allow httpd_t httpd_port_t:{tcp_socket}{name_bind}
      ドメイン タイプ      オブジェクトクラス アクセスベクタ

使い方

 

関連項目




スポンサーリンク