第6章 ユーザーの制限
Red Hat Enterprise Linux 6 では、数多くの制限のある SELinux ユーザーが利用可能です。各 Linux ユーザーは、SELinux ポリシー経由で SELinux ユーザーにマッピングされ、SELinux ユーザーに課された制限が Linux ユーザーに継承されます。(ユーザーによりますが) 例えば、X Window System が実行できない、ネットワーキングが使用できない、(SELinux ポリシーが許可していなければ) setuid アプリケーションを実行できない、
su や sudo などのコマンドを実行できない、などの制限です。これによって、システムをユーザーから保護することができます。制限のあるユーザーについての詳細は、「制限のあるユーザーおよび制限のないユーザー」 を参照してください。
6.1. Linux および SELinux ユーザーのマッピング
Linux root ユーザーで
semanage login -l コマンドを実行し、SELinux ユーザーと Linux ユーザー間のマッピングを表示します。
~]# semanage login -l
Login Name SELinux User MLS/MCS Range
__default__ unconfined_u s0-s0:c0.c1023
root unconfined_u s0-s0:c0.c1023
system_u system_u s0-s0:c0.c1023
Red Hat Enterprise Linux 6 では、Linux ユーザーはデフォルトで SELinux
__default__ ログインにマッピングされ、これはさらに SELinux unconfined_u ユーザーにマッピングされます。useradd コマンドで Linux ユーザーが作成され、オプションが特定されないと、このユーザーは SELinux unconfined_u にマッピングされます。以下でデフォルトのマッピングを定義します。
__default__ unconfined_u s0-s0:c0.c1023
