第6章 ユーザーの制限


Red Hat Enterprise Linux では、ユーザーはデフォルトで SELinux unconfined_u ユーザーにマッピングされています。unconfined_u が実行するプロセスはすべて、unconfined_t ドメイン内にあります。つまり、ユーザーは、標準の Linux DAC ポリシーの制限内で、システム全体にアクセスできます。ただし、Red Hat Enterprise Linux では、限られた SELinux ユーザーの多くが利用できます。つまり、ユーザーは限られた機能セットに限定できます。各 Linux ユーザーは、SELinux ポリシーを使用して SELinux ユーザーにマッピングされます。これにより、Linux ユーザーは、(ユーザーによっては) SELinux ユーザーに設定された制限を継承できなくなります。
  • X Window System を実行する
  • ネットワークを使用する
  • setuid アプリケーションを実行します (SELinux ポリシーで許可されていない場合)。
  • または、su コマンドおよび sudo コマンドを実行します。
たとえば、SELinux user_u ユーザーが実行しているプロセスは、user_t ドメイン内にあります。このようなプロセスはネットワークに接続できますが、su コマンドまたは sudo コマンドは実行できません。これにより、ユーザーからシステムを保護できます。制限のあるユーザーとその能力の詳細は、「制限のあるユーザーおよび制限のないユーザー」表3.1「SELinux ユーザー機能」 を参照してください。

6.1. Linux および SELinux のユーザーマッピング

root で、以下のコマンドを実行して、Linux ユーザーと SELinux ユーザーのマッピングを表示します。
~]# semanage login -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
system_u             system_u             s0-s0:c0.c1023       *
Red Hat Enterprise Linux では、Linux ユーザーはデフォルトで SELinux の __default__ ログインにマッピングされ、続いて、これは SELinux unconfined_u ユーザーにマッピングされます。useradd コマンドで Linux ユーザーを作成し、オプションを指定しないと、SELinux unconfined_u ユーザーにマッピングされます。以下は、default-mapping を定義します。
__default__          unconfined_u         s0-s0:c0.c1023       *
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.