6.2. MLS の SELinux ロール
SELinux ポリシーは、各 Linux ユーザーを SELinux ユーザーにマッピングします。これにより、Linux ユーザーは SELinux ユーザーの制限を継承できます。
MLS ポリシーには、制限なしのユーザー、タイプおよびロールなど、Unconfined
モジュールは含まれません。そのため、root
など制限のないユーザーは、すべてのオブジェクトにアクセスして、ターゲットポリシーで実行可能なアクションをすべて実行できるわけではありません。
ポリシーのブール値を調整することで、SELinux ポリシーの制限ユーザーの権限を、特定のニーズに合わせてカスタマイズできます。semanage boolean -l
コマンドを使用すると、このブール値の現在の状態を確認できます。すべての SELinux ユーザー、SELinux ロール、および MLS/MCS レベルおよび範囲を一覧表示するには、root
で semanage user -l
コマンドを使用します。
User | デフォルトロール | 追加のロール |
---|---|---|
|
| |
|
| |
|
| |
|
|
|
| ||
| ||
| ||
|
| |
|
|
|
| ||
| ||
| ||
|
|
system_u
は、システムプロセスおよびオブジェクトの特別なユーザー ID であり、system_r
は関連付けられたロールであることに注意してください。管理者は、この system_u
ユーザーと system_r
ロールを Linux ユーザーに関連付けることはできません。また、unconfined_u
および root
は制限のないユーザーです。このため、この SELinux ユーザーに関連付けられたロールは、以下の表の SELinux ロールの種類とアクセスには含まれていません。
各 SELinux ロールは SELinux のタイプに対応しており、特定のアクセス権限を提供します。
Role | タイプ | X Window System を使用したログイン | su および sudo | ホームディレクトリーおよび /tmp (デフォルト) での実行 | ネットワーク |
---|---|---|---|---|---|
|
| いいえ | いいえ | はい | いいえ |
|
| はい | いいえ | はい | Web ブラウザーのみ (Firefox、GNOME Web) |
|
| はい | いいえ | はい | はい |
|
| はい |
| はい | はい |
|
| はい | はい | はい | |
|
| はい | はい | はい | |
|
|
| はい | はい | はい |
-
デフォルトでは、
sysadm_r
ロールにはsecadm_r
ロールの権限があります。つまり、sysadm_r
ロールを持つユーザーは、セキュリティーポリシーを管理できることを意味します。ユースケースが一致しない場合は、ポリシーのsysadm_secadm
を無効にすることで、2 つのロールを分離できます。詳細は、MLS でのシステム管理とセキュリティー管理の分離 を参照してください。 -
ログイン以外のロールの
dbadm_r
、logadm_r
、およびwebadm_r
は、管理タスクのサブセットに使用できます。デフォルトでは、これらのロールは SELinux ユーザーに関連付けられていません。