「Type Enforcement」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> SELinux の [[{{PAGENAME}}]] (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機...」) |
|||
行1: | 行1: | ||
− | + | [[SELinux]] の [[Type Enforcement]] (TE)とは、プロセス がアクセスするリソースを制限する[[最小特権]]の機能です。 | |
− | + | ||
− | + | ||
− | [[SELinux]] の [[ | + | |
'''読み方''' | '''読み方''' | ||
− | ;[[ | + | ;[[Type Enforcement]]: たいぷ えんふぉーすめんと |
__TOC__ | __TOC__ | ||
== 概要 == | == 概要 == | ||
+ | [[SELinux]] の [[Type Enforcement]] (TE)とは、プロセス がアクセスするリソースを制限する[[最小特権]]の機能です。 | ||
− | + | * プロセス には、「ドメイン」のラベルを付与します。 | |
− | + | ||
− | * | + | |
* リソース には、「タイプ」のラベルを付与します。 | * リソース には、「タイプ」のラベルを付与します。 | ||
行118: | 行114: | ||
allow httpd_t httpd_port_t:{tcp_socket}{name_bind} | allow httpd_t httpd_port_t:{tcp_socket}{name_bind} | ||
ドメイン タイプ オブジェクトクラス アクセスベクタ | ドメイン タイプ オブジェクトクラス アクセスベクタ | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
== 関連項目 == | == 関連項目 == | ||
− | |||
* [[SELinux]] | * [[SELinux]] | ||
+ | <!-- vim: filetype=mediawiki | ||
+ | --> |
2015年9月23日 (水) 18:11時点における最新版
SELinux の Type Enforcement (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機能です。
読み方
- Type Enforcement
- たいぷ えんふぉーすめんと
概要
SELinux の Type Enforcement (TE)とは、プロセス がアクセスするリソースを制限する最小特権の機能です。
- プロセス には、「ドメイン」のラベルを付与します。
- リソース には、「タイプ」のラベルを付与します。
「アクセスベクタ」とは、 「 「ドメイン」がタイプに対して、どのように操作を実行できるか」のアクセス権の設定をいいます。
ファイルやソケットなどのリソースは、約30種類のオブジェクトクラスをして定義されています。オブジェクトクラスごとにアクセスベクタを設定できます。
機能 | 説明 |
---|---|
read | 読み込み |
write | 書き込み |
create | 作成 |
append | 追記 |
getattr | 属性の取得 |
rename | 名前の変更 |
execute | 実行 |
lock | ファイルのロック |
項目 | 説明 |
---|---|
filesystem | ファイルシステム |
file | ファイル |
dir | ディレクトリ |
fd | ファイル記述子 |
lnk_file | シンボリックリンク |
socket | ソケット |
tcp_socket | TCP ソケット |
msg | メッセージキュー |
system | システム関連 |
httpd プロセスは、 TCP ソケット (リソース) に対して、アドレスやポートの使用許可(アクセスベクタ) が必要です。
項目 | 説明 | 備考 |
---|---|---|
プロセス | httpd | |
ドメイン | httpd_t | プロセスへのドメイン付与 |
アクセスベクタ | name_bind | ポート番号を使用する |
リソース | tcp_socket | TCP ソケット |
タイプ | httpd_port_t | タイプの付与 |
TE の記述例は、以下の通りです。
allow httpd_t httpd_port_t:{tcp_socket}{name_bind} ドメイン タイプ オブジェクトクラス アクセスベクタ