Type Enforcement
提供: セキュリティ
2013年6月8日 (土) 16:30時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「<!-- vim: filetype=mediawiki --> SELinux の [[{{PAGENAME}}]] (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機...」)
スポンサーリンク
SELinux の Type Enforcement (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機能です。
読み方
- Type Enforcement
- たいぷ えんふぉーすめんと
概要
SELinux の Type Enforcement (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機能です。
- プロセス には、「ドメイン」のラベルを付与します。
- リソース には、「タイプ」のラベルを付与します。
「アクセスベクタ」とは、 「 「ドメイン」がタイプに対して、どのように操作を実行できるか」のアクセス権の設定をいいます。
ファイルやソケットなどのリソースは、約30種類のオブジェクトクラスをして定義されています。オブジェクトクラスごとにアクセスベクタを設定できます。
機能 | 説明 |
---|---|
read | 読み込み |
write | 書き込み |
create | 作成 |
append | 追記 |
getattr | 属性の取得 |
rename | 名前の変更 |
execute | 実行 |
lock | ファイルのロック |
項目 | 説明 |
---|---|
filesystem | ファイルシステム |
file | ファイル |
dir | ディレクトリ |
fd | ファイル記述子 |
lnk_file | シンボリックリンク |
socket | ソケット |
tcp_socket | TCP ソケット |
msg | メッセージキュー |
system | システム関連 |
httpd プロセスは、 TCP ソケット (リソース) に対して、アドレスやポートの使用許可(アクセスベクタ) が必要です。
項目 | 説明 | 備考 |
---|---|---|
プロセス | httpd | |
ドメイン | httpd_t | プロセスへのドメイン付与 |
アクセスベクタ | name_bind | ポート番号を使用する |
リソース | tcp_socket | TCP ソケット |
タイプ | httpd_port_t | タイプの付与 |
TE の記述例は、以下の通りです。
allow httpd_t httpd_port_t:{tcp_socket}{name_bind} ドメイン タイプ オブジェクトクラス アクセスベクタ
使い方
関連項目
ツイート
スポンサーリンク