49.8. ターゲットポリシーの概要
本章では、Red Hat Enterprise Linux の現在のサポート対象ポリシーである SELinux ターゲットポリシーの概要と試験を行います。
本章の内容の多くは、ファイルの場所とこれらのファイル内のコンテンツのタイプに関する、すべてのタイプの SELinux ポリシーに適用されます。違いは、どのファイルがキーの場所に存在するかとその内容にあります。
49.8.1. ターゲットポリシーとは
SELinux ポリシーは高度な設定が可能です。Red Hat Enterprise Linux 5 では、Red Hat はターゲットポリシーである単一のポリシー をサポートし て
います。targeted ポリシーでは、特定のターゲットデーモンを 除き、すべてのサブジェクトとオブジェクトは
unconfined_t ドメインで実行されます。unconfined_t ドメインにあるオブジェクトには制限がなく、標準の Linux セキュリティー( DAC )の使用にフォールバックします。ターゲットポリシーの一部であるデーモンは、独自のドメインで実行され、システムで実行するすべての操作で制限されます。このようにして、悪用されたデーモンや侵害されたデーモンは、どのような方法でも含まれており、限られた損傷しか発生しない可能性があります。
たとえば、
http デーモンと ntp デーモンは、デフォルトのターゲットポリシーで保護されており、それぞれ httpd_t ドメインと ntpd_t ドメインで実行されます。ただし、ssh デーモンはこのポリシーでは保護されないため、unconfined_t ドメインで実行されます。
以下の出力例を参照してください。これは、上記のデーモンのさまざまなドメインを示しています。
user_u:system_r:httpd_t 25129 ? 00:00:00 httpd user_u:system_r:ntpd_t 25176 ? 00:00:00 ntpd system_u:system_r:unconfined_t 25245 ? 00:00:00 sshd
Strict ポリシー
Targeted ポリシーの逆は、厳密なポリシー です。strict ポリシーでは、すべてのサブジェクトとオブジェクトが特定のセキュリティードメインに存在し、すべての対話と移行はポリシールール内で個別に考慮されます。
strict ポリシーはより複雑な環境であり、Red Hat Enterprise Linux には同梱されていません。本ガイドでは、Red Hat Enterprise Linux に同梱されるターゲットポリシーと、ターゲットデーモンが使用する SELinux のコンポーネントに重点を置いています。
対象のデーモンは、dhcpd; httpd; mysqld; named; nscd; ntpd; portmap; postgres; snmpd; squid; syslogd; winbind です。
注記
インストールによっては、これらのデーモンの一部のみが存在する可能性があります。
