SELinuxのセキュリティコンテキスト

提供: セキュリティ
2013年8月11日 (日) 19:20時点におけるDaemon (トーク | 投稿記録)による版

移動: 案内検索
スポンサーリンク

SELinux では、プロセス(SELinuxのサブジェクト)とオブジェクトにSELinux セキュリティコンテキスト(Security Context)というラベルを付与します。

読み方

セキュリティコンテキスト
せきゅりてぃ こんてきすと
Security Context
せきゅりてぃ こんてきすと

概要

SELinux では、プロセス(SELinuxのサブジェクト)とオブジェクトにSELinux セキュリティコンテキスト(Security Context)というラベルを付与します。 セキュリティコンテキストは、「セキュリティラベル」としても知られています。

SELinux においては、セキュリティコンテキストは、 以下のようにSELinux ユーザ、ロール、タイプ識別子、オプショナルの MCS/MLS セキュリティレベルを定義する可変長の文字列で表現されます。

user:role:type[:level]
セキュリティコンテキスト
項目 説明
user SELinux ユーザ識別子。SELinuxユーザに使用を許可する1つ以上のロールが関連付けることができます。
role SELinux ロール。 SELinux ユーザにアクセスを許可する1つ以上のタイプに関連付けることができます。
type タイプをプロセスに関連付けるとき、 SELinux ユーザ(サブジェクト)がアクセスできるプロセス(もしくは、ドメイン)を定義します。。タイプをオブジェクトに関連付けるとき、SELinux ユーザのオブジェクトに対するアクセスパーミッションを定義します。
level range として知られるオプショナルのフィールドです。ポリシーがMCS/MLSをサポートします。このエントリは、以下で構成されます。
  • sensitivity level と 0以上のカテゴリを含むシングルセキュリティレベル(例, s0, s1:c0, s7:c10.c15)
  • ハイフンでセパレートされた2つのセキュリティレベルからなる range (例、 s0 - s15:c0.c1023)

これらのコンポーネントは、SELinuxのセキュリティレベル のセクションで説明します。

使い方

以下は、セキュリティコンテキストを表示した例です。

$ id -Z
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
$ ls -Z /bin/bash
-rwxr-xr-x. root root system_u:object_r:shell_exec_t:s0 /bin/bash
$ ps -Z
LABEL                             PID TTY          TIME CMD
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 17772 pts/5 00:00:00 bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 18552 pts/5 00:00:00 ps
$ sudo ls -Z /root/.bashrc
-rw-r--r--. root root system_u:object_r:admin_home_t:s0 /root/.bashrc

セキュリティコンテキスト

  • 誰 (Subject)、何(Object)、何を(Action) の識別子
  • ファイル、プロセス、ユーザー、ソケットなどすべてに付与する


関連項目




スポンサーリンク