SELinux の履歴(No.9)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SELinux へ行く。
  • 1 (2021-11-14 (日) 12:02:36)
  • 2 (2022-04-21 (木) 17:48:07)
  • 3 (2025-03-07 (金) 15:55:23)
  • 4 (2025-03-17 (月) 11:33:22)
  • 5 (2025-03-17 (月) 17:47:02)
  • 6 (2025-03-17 (月) 21:44:52)
  • 7 (2025-03-17 (月) 22:38:35)
  • 8 (2025-03-18 (火) 23:36:43)
  • 9 (2025-03-19 (水) 16:26:53)
  • 10 (2025-03-19 (水) 18:17:59)
  • 11 (2025-03-20 (木) 17:17:23)

---

SELinux†

名称†

• Security-Enhanced Linux

概要†

• セキュリティ機能を強化したLinux
• LSM（Linux Security Module）上で提供されている
• Red Hat系ディストリビューション
• 米国NSAが開発した
• 管理者の権限を分散・制限する
• 不正侵入対策の仕組み
• OSS(GPL)

• ドメイン単位でプロセスとユーザーに権限を割り当てる

SELinux の仕組み†

• Flask
  • Flux Advanced Security Kernel
  • セキュリティアーキテクチャ
  • 柔軟な強制アクセス制御が可能

• 処理の流れ
  1. プロセスがリソースにアクセスする為にカーネルにアクセスを要求する
  2. カーネルは、ファイルの許可属性をチェックする
  3. SELinuxが、セキュリティポリシーファイルを参照してアクセスの可否を判断する
  4. プロセスがリソースにアクセスする

SELinux の機能†

MAC†

• 強制アクセス制御
• セキュリティコンテキスト

TE†

• Type Enforcemtnt
• プロセスごとにリソースへのアクセス制御を行う（最小限の権限を付与する）
  • プロセス（サブジェクト）← ドメインというラベルを付与する
  • リソース（オブジェクト）←タイプというラベルを付与する
  • 許可属性（アクセスベクタ）←ドメインとタイプの関係をセキュリティポリシーファイルに設定する
• ラベル名の命名ルール：末尾"_t"

RBAC†

• Role Based Access Control
• 役割別のアクセス制御
• ログインユーザーの権限を分ける機能
• ログイン時にユーザーごとにロール（役割）と呼ばれるアクセス権を与える

MCS†

• Multi Category Security
• カテゴリーが一致するプロセス、リソース同士のみアクセスが可能とする
  • プロセスやリソースにカテゴリーというラベルを付与する
• 簡単にプロセス、リソースを分離できるので、仮想化環境の分離に利用される
  • コンテナ起動時にコンテナごとに一意となるカテゴリーラベルを自動で付与する

MLS†

• Multi-Level Security
• 軍事向けのアクセス制御機能

ドメイン遷移†

• プログラムを実行した際に、起動したプロセスのドメインとは別のドメインで動作するようにする
  • 起動元プロセスのドメイン
  • 実行ファイルのタイプ
  • 起動されたプロセスが動作するドメイン
• ※補足：デフォルトでは、起動したプロセスのドメインは親プロセスのドメインを引き継ぐ

Userland AVC†

• アプリケーション独自のパーミッションルールをチェックする

監査ログ†

• プロセスのアクセス許可・拒否のログを記録する

  /var/log/audit/audit.log

有効/無効とモード†

• Enforced
  • 強制モード : セキュリティポリシーに違反するアクションをブロック(Yes)、ログに記録(Yes)　※本番運用向け
• Permissive
  • 開発モード : セキュリティポリシーに違反するアクションをブロック(No)、ログに記録(Yes)　※開発・調査向け
• Disabled
  • 無効 : セキュリティポリシーに違反するアクションをブロック(No)、ログに記録(No)

コマンド†

sestatus†

• 動作状況詳細を確認

  sestatus

getenforce†

• モードを確認

  getenforce

setenforce†

• モードの切り替え

  setenforce 0　※Permissiveに切り替え
  setenforce 1　※Enforcingに切り替え

sesearch†

chcon†

• セキュリティコンテキストを変更する

  chcon

semanage†

semanage fcontext -a -t httpd_sys_content_t "/var/www(/.*)?"

restorecon†

設定ファイル†

/etc/selinux/config†

• /etc/sysconfig/selinux ※リンク

  SELINUX=enforcing　※有効
  SELINUX=disabled　※無効

/etc/selinux/targeted†

• セキュリティポリシーが保存されている
  • バイナリポリシーファイル ※システム起動時に読み込まれる

    /etc/selinux/targeted/policy/policy.33

  • file_contexts ※ファイルを編集後、xatrr(拡張領域)に書き込む必要がある

    /etc/selinux/targeted/context/files/file_contexts*

設定†

• ロール

  sysadm_r	システム管理者
  user_r	一般ユーザー
  system_r	システムプロセス

• ラベル

  デーモン	ドメイン	タイプ
  httpd	httpd_t	httpd_content_t、httpd_sys_content_t、httpd_sys_script_exec_t

• セキュリティコンテキスト
  • ユーザー名、ロール、ラベル（ドメインまたはタイプ）、レベル、カテゴリー
  • セミコロン区切り

• タイプ
  • <ファイルのパス(正規表現可)> <ファイル種別> system_u:object_r:<タイプ>:s0
    • ファイル種別；regular file, directory, character device, block device, symbolic link, all files
    • ファイル、ディレクトリ

      /var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0

    • ポート番号

      portcon <tcp/udp> <ポート番号> system_u:object_r:<タイプ>:s0

  • allow <ドメイン> <タイプ>:<オブジェクトクラス> {<パーミッション>};
    • オブジェクトクラス：file, dir, tcp_socket
    • パーミッション；オブジェクトクラス毎に用意されている（fileの場合read, write など）

• ドメイン遷移

  type_transition <親プロセスのドメイン> <実行ファイルのタイプ> : process <起動時に割り当てるドメイン>

設定状況の確認†

• プロセスのセキュリティコンテキストを確認

  ps -Z
  ps -eZ | grep httpd　
  ps -M
  
  ps x --context

• ファイルのセキュリティコンテキストを確認

  ls -Z
  ls -lZ
  ls --context

ログの確認†

• /var/log/audit/audit.log を確認

  ausearch -m AV
  ausearch -m AVC_USER

関連用語†

• 強制アクセス制御(MAC(Mandatory Access Control))
• セキュリティ
• AppArmor
• Linux
• Trusted OS
• セキュアOS
• LSM(Linux Security Modules)
• sVirt
• AVC(Access Vector Cache)