第6章 ユーザーの制限
Red Hat Enterprise Linux では、ユーザーはデフォルトで SELinux
たとえば、SELinux
unconfined_u
ユーザーにマッピングされています。unconfined_u
が実行するプロセスはすべて、unconfined_t
ドメイン内にあります。つまり、ユーザーは、標準の Linux DAC ポリシーの制限内で、システム全体にアクセスできます。ただし、Red Hat Enterprise Linux では、限られた SELinux ユーザーの多くが利用できます。つまり、ユーザーは限られた機能セットに限定できます。各 Linux ユーザーは、SELinux ポリシーを使用して SELinux ユーザーにマッピングされます。これにより、Linux ユーザーは、(ユーザーによっては) SELinux ユーザーに設定された制限を継承できなくなります。
- X Window System を実行する
- ネットワークを使用する
- setuid アプリケーションを実行します (SELinux ポリシーで許可されていない場合)。
- または、su コマンドおよび sudo コマンドを実行します。
user_u
ユーザーが実行しているプロセスは、user_t
ドメイン内にあります。このようなプロセスはネットワークに接続できますが、su コマンドまたは sudo コマンドは実行できません。これにより、ユーザーからシステムを保護できます。制限のあるユーザーとその能力の詳細は、「制限のあるユーザーおよび制限のないユーザー」、表3.1「SELinux ユーザー機能」 を参照してください。
6.1. Linux および SELinux のユーザーマッピング
root で、以下のコマンドを実行して、Linux ユーザーと SELinux ユーザーのマッピングを表示します。
~]#
semanage login -l
Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
Red Hat Enterprise Linux では、Linux ユーザーはデフォルトで SELinux の
__default__
ログインにマッピングされ、続いて、これは SELinux unconfined_u
ユーザーにマッピングされます。useradd コマンドで Linux ユーザーを作成し、オプションを指定しないと、SELinux unconfined_u
ユーザーにマッピングされます。以下は、default-mapping を定義します。
__default__ unconfined_u s0-s0:c0.c1023 *