SELinux ポリシーは、すべてのユーザー、プログラム、プロセス、ファイル、およびそれらが操作するデバイスのアクセス許可を記述します。 SELinux は 2 つの異なるポリシーのいずれかを実装します:
- 的を絞った :このデフォルト ポリシーは、特定の (対象となる) プロセスにアクセス制御を適用します。
- MLS :マルチレベル セキュリティ
SELinux GUI からポリシー タイプを選択するか、/etc/selinux/config ファイルで SELINUXTYPE ディレクティブを設定します。例:
# vim /etc/selinux/config SELINUXTYPE=targeted
ターゲット ポリシーを使用すると、ターゲット プロセスは、限定ドメインと呼ばれる独自のドメインで実行されます。限定されたドメインでは、ターゲット プロセスがアクセスできるファイルが制限されます。限定されたプロセスが攻撃者によって侵害された場合、攻撃者のリソースへのアクセスと、攻撃者が与える可能性のある損害も制限されます。 SELinux はこれらのリソースへのアクセスを拒否し、拒否をログに記録します。
ポリシーによって制限されたこれらの別個のセキュリティ ドメインには、特定のサービスのみが配置されます。たとえば、ユーザーは完全に制限されていないドメインで実行されますが、named、httpd、sshd などのクライアント要求をネットワークでリッスンするサービスは、その操作に合わせて調整された特定の制限されたドメインで実行されます。 passwd アプリケーションなど、Linux root ユーザーとして実行され、ユーザーのタスクを実行するプロセスも制限されます。
対象外のプロセスは、制限のないドメインで実行されます。 SELinux ポリシー ルールは、制限のないドメインで実行されているプロセスに、ほぼすべてのアクセスを許可します。限定されていないプロセスが侵害された場合、SELinux は攻撃者がシステム リソースやデータにアクセスすることを防ぎません。 DAC ルールは、限定されていないドメインでも適用されます。以下は限定されていないドメインの例です:
- initrc_t ドメイン :init プログラムは、この限定されていないドメインで実行されます。
- kernel_t ドメイン :制限のないカーネル プロセスがこのドメインで実行されます。
- unconfined_t ドメイン :このドメインで実行されているシステムにログインしている Linux ユーザー。
SELinux によって保護されている多くのドメインには、ポリシーのカスタマイズ方法を説明する man ページがあります。各ポリシーの設定は /etc/selinux/[SELINUXTYPE] にインストールされます ディレクトリ。次の例は、/etc/selinux の部分的なリストを示しています。 ターゲット ポリシーと MLS ポリシーの両方がインストールされたディレクトリ:
# ll -lrt /etc/selinux/ total 16 -rw-r--r--. 1 root root 546 Jan 1 2017 config drwxr-xr-x. 2 root root 6 Aug 4 2017 tmp -rw-r--r--. 1 root root 2321 Aug 4 2017 semanage.conf drwxr-xr-x. 7 root root 4096 Feb 19 19:20 targeted drwx------. 2 root root 6 Feb 19 19:20 final drwxr-xr-x. 7 root root 4096 Mar 5 16:39 mls
ターゲット ポリシーはデフォルトでインストールされますが、MLS ポリシーはインストールされません。 MLS ポリシーを使用するには、selinux-policy-mls パッケージをインストールします。
# yum install selinux-policy-mlsSELinux の初心者向けガイド
SELinux を無効にする方法、または許可モードに設定する方法
SELinux が有効か無効かを確認する方法
RHEL/CentOS で SELinux モードを有効/無効にする方法
内容SELinux モードとその設定方法