「SELinux」の版間の差分

提供: セキュリティ
移動: 案内検索
行2: 行2:
 
vim: filetype=mediawiki
 
vim: filetype=mediawiki
 
-->
 
-->
[[SELinux]] は、[[Linux]] [[カーネル]] に [[強制アクセス制御]] (MAC) 機能を付加するモジュールです。
+
[[SELinux]] は、[[Linuxカーネル]] に [[強制アクセス制御]] (MAC) 機能を付加するモジュールです。
  
 
読み方
 
読み方
行11: 行11:
 
== 概要 ==
 
== 概要 ==
  
[[SELinux]] は、[[Linux]] [[カーネル]] に [[強制アクセス制御]] (MAC) 機能を付加するモジュールです。
+
[[SELinux]] は、[[Linuxカーネル]] に [[強制アクセス制御]] (MAC) 機能を付加するモジュールです。
  
 
[[Unix]] のシステムは、ディレクトリやファイルなどのリソースに対するアクセス制御は、パーミッションで行われます。
 
[[Unix]] のシステムは、ディレクトリやファイルなどのリソースに対するアクセス制御は、パーミッションで行われます。
行35: 行35:
 
== インストール ==
 
== インストール ==
  
* [[SELinux]] は、あらかじめインストールされている場合があります。
+
[[SELinux]] は、あらかじめインストールされている場合があります。
 
* [[SELinux を Ubuntu にインストールする]]
 
* [[SELinux を Ubuntu にインストールする]]
* [[SELinux を CentOS にインストールする]]
 
  
== SELinux の設定 ==
+
{|class="wikitable"
 +
|+ OSとSELinux
 +
! ディストリビューション
 +
! どのように入れるか
 +
|-
 +
| Red Hat Enterprise Linux (4+)
 +
| デフォルト
 +
|-
 +
| CentOS
 +
| デフォルト
 +
|-
 +
| Fedora (2+)
 +
| デフォルト
 +
|-
 +
| Ubuntu
 +
| インストール
 +
|-
 +
| Debian
 +
| アドオン
 +
|-
 +
| Gentoo
 +
| インストール
 +
|}
 +
 
 +
== SELinux のモード ==
  
 
* [[SELinuxのモード]]
 
* [[SELinuxのモード]]
行50: 行73:
 
** [[/etc/selinux/config]]
 
** [[/etc/selinux/config]]
 
**: 設定ファイル
 
**: 設定ファイル
 +
 +
== SELinux の設定 ==
 +
 +
* [[SELinuxの設定ファイル]]
 +
** [[/etc/selinux/config]]
  
 
== 監査ログ ==
 
== 監査ログ ==

2013年6月8日 (土) 19:36時点における版

SELinux は、Linuxカーネル強制アクセス制御 (MAC) 機能を付加するモジュールです。

読み方

SELinux
えすぃーりなっくす
Security-Enhanced Linux
せきゅりてぃ えんはんすど りなっくす

概要

SELinux は、Linuxカーネル強制アクセス制御 (MAC) 機能を付加するモジュールです。

Unix のシステムは、ディレクトリやファイルなどのリソースに対するアクセス制御は、パーミッションで行われます。 パーミッションは、オーナー、グループ、その他に対して、rwx(読み、書き、実行) を設定します。 root ユーザは、パーミッションの制限を受けることなく、あらゆるリソースにアクセスできるため、 Linux を含む Unix 系の OS では、 root ユーザに権限が集中し過ぎているといえます。 root ユーザのパスワードの漏えいは、致命的な被害を及ぼす可能性をもたらします。

SELinux では、以下の制限を設け、root ユーザの権限の集中を防ぎ、堅牢なシステム構築を目指しています。

Teyp Enforcement (TE)
プロセスごとのアクセス制御
ロールベースアクセス制御(RBAC)
rootユーザを含むすべてのユーザに制限をかける


SELinuxアクセス制御

インストール

SELinux は、あらかじめインストールされている場合があります。

OSとSELinux
ディストリビューション どのように入れるか
Red Hat Enterprise Linux (4+) デフォルト
CentOS デフォルト
Fedora (2+) デフォルト
Ubuntu インストール
Debian アドオン
Gentoo インストール

SELinux のモード

SELinux の設定

監査ログ

使い方

ファイルやディレクトリのセキュリティコンテキストの確認方法

$ ls -Z /etc/hosts.allow
-rw-r--r--. root root system_u:object_r:etc_t:s0       /etc/hosts.allow

プロセスのコンテキスト。

$ ps axZ |fgrep auditd
system_u:system_r:kernel_t:s0     467 ?        S      0:01 [kauditd]
unconfined_u:system_r:auditd_t:s0 16834 ?      S<sl   0:00 auditd
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 17377 pts/7 S+   0:00 fgrep auditd

コマンド

関連項目