49.2. SELinux の概要
Security-Enhanced Linux (SELinux)は、Linux Security Modules (LSM)を使用して 2.6.x カーネルに統合されたセキュリティーアーキテクチャーです。これは、米国国家安全保障局(NSA)およびSELinuxコミュニティーのプロジェクトです。Red Hat Enterprise Linux への SELinux の統合は、NSA と Red Hat との間の共同作業でした。
49.2.1. SELinux の概要
SELinux は、Linux カーネルに組み込まれた柔軟な 強制アクセス制御 (MAC)システムを提供します。標準の Linux Discretionary Access Control (DAC)では、ユーザー(UID または SUID)として実行されているアプリケーションまたはプロセスには、ファイル、ソケット、その他のプロセスなどのオブジェクトに対するユーザーのパーミッションがあります。MAC カーネルを実行すると、システムの破損や破棄が可能な悪意のあるアプリケーションや不具合のあるアプリケーションからシステムが保護されます。
SELinux は、システム上のすべてのユーザー、アプリケーション、プロセス、およびファイルへのアクセスと遷移の権限を定義します。次に、SELinux は、特定の Red Hat Enterprise Linux インストールを厳格または盗まれる方法を指定するセキュリティーポリシーを使用して、これらのエンティティーの対話を管理します。
日常的には、システムユーザーは主に SELinux を認識しません。システム管理者のみが、サーバー環境に対して実装するポリシーをどの程度厳格にするかを考慮する必要があります。ポリシーは、必要に応じて strict または lenient として指定でき、非常に詳細です。この詳細により、SELinux カーネルがシステム全体を完全に詳細に制御できます。
SELinux 意思決定プロセス
サブジェクト(アプリケーションなど)がオブジェクトへのアクセスを試みると(例:ファイル)、カーネル内のポリシー強制サーバーは、サブジェクトとオブジェクトパーミッションが キャッシュされるアクセスベクターキャッシュ (AVC)をチェックします。AVC のデータに基づいて決定を行うことができない場合、要求はセキュリティーサーバーに続行され、アプリケーションとマトリックスでファイルを検索します。次に、パーミッションが許可または拒否され、パーミッションが拒否された場合は、/var/log/messages に詳細を示す avc: denied メッセージが表示されます。サブジェクトとオブジェクトのセキュリティーコンテキストはインストールされたポリシーから適用されます。これは、セキュリティーサーバーのマトリックスを設定するための情報を提供します。
以下の図を参照してください。
図49.1 SELinux デシジョンプロセス
[D]
SELinux の操作モード
SELinux は Enforcing モードで実行する代わりに Permissive モードで実行できます。この場合、AVC が確認され、拒否のログが記録されますが、SELinux はポリシーを強制しません。これは、トラブルシューティングや SELinux ポリシーの開発や微調整に役立ちます。
SELinux の仕組みの詳細については、「関連情報」 を参照してください。
