7.10. SELinux ポリシーの使用
SELinux は、システム上のアプリケーション、プロセス、およびファイルへのアクセス制御を定義するセキュリティーポリシーのコレクションです。セキュリティーポリシーは、不正アクセスや改ざんを防ぐために、SELinux にアクセスを許可する対象と許可しない対象を指示する一連のルールです。
SELinux は、サーバー上のファイル、ディレクトリー、ポート、プロセス、ユーザー、およびその他のオブジェクトを分類します。SELinux は、各オブジェクトを適切なセキュリティーコンテキストに配置し、そのオブジェクトのロール、ユーザー、セキュリティーレベルを通じて、サーバー上でオブジェクトがどのように動作できるかを定義します。SELinux はオブジェクトのこれらのロールをドメインにグループ化し、SELinux ルールは、あるドメイン内のオブジェクトが別のドメイン内のオブジェクトと対話できる方法を定義します。
Directory Server には次のドメインがあります。
-
dirsrv_t
(Directory Server) -
dirsrv_snmp_t
(SNMP) -
ldap_port_t
(LDAP ポート)
これらのドメインは、Directory Server のすべてのプロセス、ファイル、ディレクトリー、ポート、ソケット、およびユーザーのセキュリティーコンテキストを提供します。
- SELinux は、特定のセキュリティーコンテキストを使用して、各インスタンスのファイルとディレクトリーにラベルを付けます。Directory Server が使用するメインディレクトリーのほとんどには、ローカルインスタンスの数に関係なく、すべてのローカルインスタンス用のサブディレクトリーがあるため、SELinux は新しいインスタンスに単一のポリシーを簡単に適用できます。
- SELinux は、特定のセキュリティーコンテキストを使用して各インスタンスのポートにラベルを付けます。
- SELinux は、すべての Directory Server プロセスを適切なドメイン内に制限します。
- 各ドメインには、ドメインに承認されたアクションを定義する特定のルールがあります。
- SELinux ポリシーで指定されていない場合、SELinux はインスタンスへのアクセスを拒否します。
SELinux には 3 つの異なるレベルの適用があります。
- disabled
- SELinux なし
- permissive
- SELinux プロセスルールは処理されますが、適用されるわけではありません。
- enforcing
- SELinux はすべてのルールを厳密に適用します。
Red Hat Directory Server は、厳密な SELinux enforcing モードで通常どおり実行できるようにする SELinux ポリシーを定義しています。Directory Server は、通常の操作用とインポートなどのデータベース操作用 (ldif2db
モード) の 2 つの異なるモードで実行できます。Directory Server の SELinux ポリシーは、通常モードにのみ適用されます。
デフォルトでは、Directory Server は SELinux ポリシーを使用して通常モードで実行されます。
関連情報