検索

7.10. SELinux ポリシーの使用

download PDF

SELinux は、システム上のアプリケーション、プロセス、およびファイルへのアクセス制御を定義するセキュリティーポリシーのコレクションです。セキュリティーポリシーは、不正アクセスや改ざんを防ぐために、SELinux にアクセスを許可する対象と許可しない対象を指示する一連のルールです。

SELinux は、サーバー上のファイル、ディレクトリー、ポート、プロセス、ユーザー、およびその他のオブジェクトを分類します。SELinux は、各オブジェクトを適切なセキュリティーコンテキストに配置し、そのオブジェクトのロール、ユーザー、セキュリティーレベルを通じて、サーバー上でオブジェクトがどのように動作できるかを定義します。SELinux はオブジェクトのこれらのロールをドメインにグループ化し、SELinux ルールは、あるドメイン内のオブジェクトが別のドメイン内のオブジェクトと対話できる方法を定義します。

Directory Server には次のドメインがあります。

  • dirsrv_t (Directory Server)
  • dirsrv_snmp_t (SNMP)
  • ldap_port_t (LDAP ポート)

これらのドメインは、Directory Server のすべてのプロセス、ファイル、ディレクトリー、ポート、ソケット、およびユーザーのセキュリティーコンテキストを提供します。

  • SELinux は、特定のセキュリティーコンテキストを使用して、各インスタンスのファイルとディレクトリーにラベルを付けます。Directory Server が使用するメインディレクトリーのほとんどには、ローカルインスタンスの数に関係なく、すべてのローカルインスタンス用のサブディレクトリーがあるため、SELinux は新しいインスタンスに単一のポリシーを簡単に適用できます。
  • SELinux は、特定のセキュリティーコンテキストを使用して各インスタンスのポートにラベルを付けます。
  • SELinux は、すべての Directory Server プロセスを適切なドメイン内に制限します。
  • 各ドメインには、ドメインに承認されたアクションを定義する特定のルールがあります。
  • SELinux ポリシーで指定されていない場合、SELinux はインスタンスへのアクセスを拒否します。

SELinux には 3 つの異なるレベルの適用があります。

disabled
SELinux なし
permissive
SELinux プロセスルールは処理されますが、適用されるわけではありません。
enforcing
SELinux はすべてのルールを厳密に適用します。

Red Hat Directory Server は、厳密な SELinux enforcing モードで通常どおり実行できるようにする SELinux ポリシーを定義しています。Directory Server は、通常の操作用とインポートなどのデータベース操作用 (ldif2db モード) の 2 つの異なるモードで実行できます。Directory Server の SELinux ポリシーは、通常モードにのみ適用されます。

デフォルトでは、Directory Server は SELinux ポリシーを使用して通常モードで実行されます。

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.