第49章 セキュリティーおよび SELinux

Discretionary Access Control (DAC)は、ファイルシステム内のオブジェクトに対する基本的なアクセス制御を定義します。これは、ファイルパーミッションや共有などによって提供される一般的なアクセス制御です。このようなアクセスは通常、オブジェクト（ファイル、ディレクトリー、デバイスなど）の所有者の判断で提供されます。

DAC は、これらのオブジェクトにアクセスしようとするユーザーまたはグループ（サブジェクト）の ID に基づいてオブジェクトへのアクセスを制限する手段を提供します。サブジェクトのアクセスパーミッションによっては、他のサブジェクトにパーミッションを渡すこともできます。

アクセス制御リスト (ACL)は、サブジェクトがアクセスできるオブジェクトをさらに制御できます。詳細は、10章アクセス制御リスト を参照してください。

強制アクセス制御 (MAC)は、ユーザー（サブジェクト）が作成するオブジェクトに対する制御のレベルを制限するセキュリティーメカニズムです。DAC 実装とは異なり、ユーザーは独自のファイル、ディレクトリーなどを完全に制御し、MAC はすべてのファイルシステムオブジェクトにラベルまたはカテゴリーを追加します。ユーザーおよびプロセスは、これらのオブジェクトと対話する前にこれらのカテゴリーに適切なアクセスを持っている必要があります。

Red Hat Enterprise Linux では、MAC は SELinux によって強制されます。詳細は、「SELinux の概要」 を参照してください。

ロールベースアクセス制御( RBAC)は、ファイルシステムオブジェクトへのユーザーアクセスを制御する代替方法です。ユーザーのパーミッションでアクセスを制御する代わりに、システム管理者はビジネス機能の要件または同様の基準に基づいて ロール を確立します。これらのロールには、オブジェクトへのさまざまなタイプとレベルのアクセスがあります。

DAC または MAC システムとは対照的に、ユーザーは自分のオブジェクトとオブジェクトのパーミッションに基づいてオブジェクトにアクセスできるのに対し、RBAC システムのユーザーは、ファイル、ディレクトリー、デバイスなどと対話する前に適切なグループまたはロールのメンバーである必要があります。

管理の観点からは、グループメンバーシップを制御するだけで、ファイルシステムのさまざまな部分にアクセスできるユーザーをより簡単に制御できます。

Multi-Level Security (MLS)は、特定のMAC(Mandatory Access Control)セキュリティースキームです。このスキームでは、プロセスは Subjects と呼ばれます。ファイル、ソケット、およびその他のパッシブオペレーティングシステムのエンティティーは オブジェクト と呼ばれます。詳細は、「Multi-Level Security (MLS)」 を参照してください。

Multi-Category Security (MCS)は SELinux の拡張機能であり、ユーザーはカテゴリーでファイルにラベルを付けることができます。MCS は MLS の調整であり、SELinux の MLS フレームワークの多くを再利用します。詳細は、を参照してください。 「はじめに」