Linuxのセキュリティ：ブール値を使用したSELinuxポリシーの操作

SELinuxとしてよく知られているSecurity-EnhancedLinuxは、しばらく前から存在していますが、それには正当な理由があります。もともとは国家安全保障局によって開発され、2000年からオープンソースコミュニティの一部であり、2003年からLinuxカーネルの一部となっています。SELinuxは、管理者がLinuxシステムのさまざまな部分がきめ細かくアクションを実行する方法を把握するのに役立ちますコントロール。

基本的な仕組み

つまり、SELinuxはポリシーデータベースを使用して、特定のシステムでのファイル、アプリケーション、またはプロセスへのアクセスを承認または拒否します。アプリケーションとプロセスはサブジェクトとして定義されます その後、ファイル（オブジェクトと呼ばれる）へのアクセスを要求します ）。決定は、AVC（アクセスベクターキャッシュ）に保存されているポリシーと権限に基づいて行われます。

クイックスイッチ

これらのポリシーのいずれかによってブロックされているサービスを使用する必要がある場合はどうなりますか？コンテキストを考えると、ポリシーの再定義は不要な場合があります。これはブール値がシーンに入る場所です。ブール値は本質的に、SELinux内の特定の領域へのオンザフライのポリシー変更を可能にするスイッチです。これらのブール値は、アクティブに適用されたポリシーにマイクロレベルの変更を加えることを可能にする文字列です。

[次のこともお勧めします：Linuxサーバーのセキュリティを開始するための5つのヒント]

どのブール値を使用できますか？

使用可能なブール値のリストを表示するには、 getsebool -aを使用できます。 。すべてのユーザーがこのコマンドを実行できます。

[tcarrigan@client ~]$ getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
auditadm_exec_content --> on
authlogin_nsswitch_use_ldap --> off
authlogin_radius --> off
authlogin_yubikey --> off
awstats_purge_apache_log_files --> off
boinc_execmem --> on
cdrecord_read_content --> off
cluster_can_network_connect --> off
cluster_manage_all_files --> off
cluster_use_execmem --> off
cobbler_anon_write --> off
cobbler_can_network_connect --> off
cobbler_use_cifs --> off
cobbler_use_nfs --> off
collectd_tcp_network_connect --> off
...Output Omitted...

これらはどういう意味ですか？

ここには膨大な数の利用可能なスイッチがあります。上記のリストからわかるように、一部のブールスイッチの機能は正確には明らかではありません。 semanage boolean-l|を使用できますgrep boolean_name_string 特定のブール値に関するもう少し情報を一覧表示します。

注 ： semanage を実行するには、管理者権限が必要です コマンド。

[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler*
cobbler_anon_write             (off  ,  off)  Allow cobbler to anon write
cobbler_can_network_connect    (off  ,  off)  Allow cobbler to can network connect
cobbler_use_cifs               (off  ,  off)  Allow cobbler to use cifs
cobbler_use_nfs                (off  ,  off)  Allow cobbler to use nfs
httpd_can_network_connect_cobbler (off  ,  off)  Allow httpd to can network connect cobbler
httpd_serve_cobbler_files      (off  ,  off)  Allow httpd to serve cobbler files

上記では、コブラーを処理するすべてのブール値を調べていることがわかります。左から右に、ブール文字列、現在およびデフォルトの設定、およびスイッチの簡単な説明が表示されます。

ブール値を有効/無効にする

特定のスイッチのステータスを変更するには、次のコマンドを使用します： setsebool boolean_name_string on （オフ ）。例：

[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write on
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write            (on    , off)         Allow cobbler to anon write

[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write off
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write            (off    , off)         Allow cobbler to anon write

[tcarrigan@client ~]$ sudo setsebool -P cobbler_anon_write on