SELinux の履歴(No.6)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SELinux へ行く。
  • 1 (2021-11-14 (日) 12:02:36)
  • 2 (2022-04-21 (木) 17:48:07)
  • 3 (2025-03-07 (金) 15:55:23)
  • 4 (2025-03-17 (月) 11:33:22)
  • 5 (2025-03-17 (月) 17:47:02)
  • 6 (2025-03-17 (月) 21:44:52)
  • 7 (2025-03-17 (月) 22:38:35)
  • 8 (2025-03-18 (火) 23:36:43)
  • 9 (2025-03-19 (水) 16:26:53)
  • 10 (2025-03-19 (水) 18:17:59)
  • 11 (2025-03-20 (木) 17:17:23)

---

SELinux†

名称†

• Security-Enhanced Linux

概要†

• セキュリティ機能を強化したLinux
• LSM（Linux Security Module）上で提供されている
• Red Hat系ディストリビューション
• 米国NSAが開発した
• 管理者の権限を分散・制限する
• 不正侵入対策の仕組み
• OSS(GPL)

• ドメイン単位でプロセスとユーザーに権限を割り当てる

SELinux の仕組み†

• Flask
  • Flux Advanced Security Kernel
  • セキュリティアーキテクチャ
  • 柔軟な強制アクセス制御が可能

• 処理の流れ
  1. プロセスがリソースにアクセスする為にカーネルにアクセスを要求する
  2. カーネルは、ファイルの許可属性をチェックする
  3. SELinuxが、セキュリティポリシーファイルを参照してアクセスの可否を判断する
  4. プロセスがリソースにアクセスする

SELinux のセキュリティ機能†

• 強制アクセス制御
  • セキュリティコンテキスト

• TE
  • Type Enforcemtnt
  • プロセスごとのリソースへのアクセス制御を行う
    • プロセス（サブジェクト）←ドメインというラベルを付与する
    • リソース（オブジェクト）←タイプというラベルを付与する
    • 許可属性（アクセスベクタ）←ドメインとタイプの関係をセキュリティポリシーファイルに設定する
  • ラベル名の命名ルール：末尾"_t"

• RBAC

• ドメイン遷移

• セキュリティサーバ

設定†

• Enforced
  • 有効 : セキュリティポリシーに違反するアクションをブロック(Yes)、ログに記録(Yes)
• Permissive
  • 有効 : セキュリティポリシーに違反するアクションをブロック(No)、ログに記録(Yes)
• Disabled
  • 無効 : セキュリティポリシーに違反するアクションをブロック(No)、ログに記録(No)

コマンド†

getenforce†

• 動作状況を確認

sestatus†

• 動作状況詳細を確認

setenforce†

• 有効化/無効化の切り替え

  setenforce 0　※一時無効化
  setenforce 1　※一時有効化

chcon†

• セキュリティコンテキストを変更する

  chcon

semanage†

restorecon†

設定ファイル†

/etc/selinux/config†

• /etc/sysconfig/selinux ※リンク

  SELINUX=enforcing　※有効
  SELINUX=disabled　※無効

設定状況の確認†

ls -Z
ls --context

ps -Z
ps -M

ps x --context

関連用語†

• 強制アクセス制御(MAC(Mandatory Access Control))
• セキュリティ
• AppArmor
• Linux
• Trusted OS
• セキュアOS
• MLS(Multi-Level Security)
• LSM(Linux Security Modules)