4.13. Multi-Level Security (MLS)

手順4.19 SELinux MLS ポリシーの有効化

1. selinux-policy-mls パッケージをインストールします。

   ~]# yum install selinux-policy-mls

   Copy to Clipboard Toggle word wrap
2. MLS ポリシーを有効にする前に、ファイルシステムの各ファイルに、MLS ラベルで再ラベル付けする必要があります。ファイルシステムに再ラベル付けすると、制限されたドメインのアクセスが拒否される可能性があります。これにより、システムが正しく起動しなくなる可能性があります。これを防ぐには、/etc/selinux/config ファイルで SELINUX=permissive を設定します。また、SELINUXTYPE=mls を設定して、MLS ポリシーを有効にします。設定ファイルは以下のようになります。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=permissive
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

   Copy to Clipboard Toggle word wrap
3. SELinux が Permissive モードで実行していることを確認します。

   ~]# setenforce 0

   Copy to Clipboard Toggle word wrap

   ~]$ getenforce
   Permissive
   

   Copy to Clipboard Toggle word wrap
4. fixfiles スクリプトを使用して、-F オプションを含む/.autorelabel ファイルを作成し、次回のシステムの再起動時にファイルに再ラベル付けされるようにします。

   ~]# fixfiles -F onboot

   Copy to Clipboard Toggle word wrap
5. システムを再起動します。次回の起動時に、MLS ポリシーに従って、すべてのファイルシステムに再ラベル付けされます。ラベルプロセスは、適切な SELinux コンテキストを使用して、すべてのファイルにラベルを付けます。

   *** Warning -- SELinux mls policy relabel is required.
   *** Relabeling could take a very long time, depending on file
   *** system size and speed of hard drives.
   ***********
   

   Copy to Clipboard Toggle word wrap
   一番下の行にある * (アスタリスク) 文字は、ラベル付けされている 1000 ファイルを表します。上記の例では、11 の* 文字が、ラベルが付けられた 11000 ファイルを表しています。すべてのファイルにラベルを付けるのにかかる時間は、システムのファイル数と、ハードディスクドライブの速度により異なります。最新のシステムでは、このプロセスに 10 分程度かかる場合があります。ラベリングプロセスが終了すると、システムが自動的に再起動します。
6. Permissive モードでは SELinux ポリシーは強制されませんが、Enforcing モードで実行された場合に拒否されたであろうアクションの拒否は引き続きログに記録されます。Enforcing モードに切り替える前に、root で次のコマンドを実行して、システムの最後の起動時に SELinux がアクションを拒否しなかったことを確認します。最後のシステムの起動時に SELinux がアクションを拒否しなかった場合に、このコマンドを実行しても出力は返されません。システムの起動時に SELinux がアクセスを拒否された場合のトラブルシューティングは、11章トラブルシューティング を参照してください。

   ~]# grep "SELinux is preventing" /var/log/messages

   Copy to Clipboard Toggle word wrap
7. /var/log/messages ファイルに拒否メッセージがないか、すでに拒否を解決している場合は、/etc/selinux/config ファイルに SELINUX=enforcing を設定します。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=enforcing
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

   Copy to Clipboard Toggle word wrap
8. システムを再起動し、SELinux が Enforcing モードで実行していることを確認します。

   ~]$ getenforce
   Enforcing
   

   Copy to Clipboard Toggle word wrap
   MLS ポリシーが有効になっていることも確認します。

   ~]# sestatus |grep mls
   Policy from config file:        mls
   

   Copy to Clipboard Toggle word wrap

手順4.20 特定の MLS 範囲を持つユーザーの作成

1. useradd コマンドを使用して新しい Linux ユーザーを追加し、その新しい Linux ユーザーを既存の SELinux ユーザー (この例では staff_u) にマッピングします。

   ~]# useradd -Z staff_u john

   Copy to Clipboard Toggle word wrap
2. 新しく作成した Linux ユーザーにパスワードを割り当てます。

   prompt~]# passwd john

   Copy to Clipboard Toggle word wrap
3. root で次のコマンドを実行し、SELinux ユーザーと Linux ユーザー間のマッピングを表示します。出力は、以下のようになります。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s0-s15:c0.c1023      *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

   Copy to Clipboard Toggle word wrap
4. ユーザー john に指定範囲を定義します。

   ~]# semanage login --modify --range s2:c100 john

   Copy to Clipboard Toggle word wrap
5. SELinux ユーザーと Linux ユーザー間のマッピングを再度表示します。ユーザー john には、指定した MLS レンジが定義されていることに注意してください。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s2:c100              *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

   Copy to Clipboard Toggle word wrap
6. 必要に応じて、john のホームディレクトリーのラベルを修正するには、次のコマンドを入力します。

   ~]# chcon -R -l s2:c100 /home/john

   Copy to Clipboard Toggle word wrap

手順4.21 ポリインスタンス化ディレクトリーの有効化

1. /etc/security/namespace.conf ファイルの最後の 3 行のコメントを解除して、/tmp、/var/tmp/、およびユーザーのホームディレクトリーのインスタンス化を有効にします。

   ~]$ tail -n 3 /etc/security/namespace.conf
   /tmp     /tmp-inst/            level      root,adm
   /var/tmp /var/tmp/tmp-inst/    level      root,adm
   $HOME    $HOME/$USER.inst/     level
   

   Copy to Clipboard Toggle word wrap
2. /etc/pam.d/login ファイルーで、pam_namespace.so モジュールが session 用に設定されていることを確認します。

   ~]$ grep namespace /etc/pam.d/login
   session    required     pam_namespace.so
   

   Copy to Clipboard Toggle word wrap
3. システムを再起動します。