このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。

機械翻訳について

25.2 SELinuxの構成と使用

25.2.1 SELinuxの管理について
25.2.2 SELinuxのモードについて
25.2.3 SELinuxモードの設定
25.2.4 SELinuxのポリシーについて
25.2.5 SELinuxコンテキストについて
25.2.6 SELinuxユーザーについて
25.2.7 アクセス拒否メッセージのトラブルシューティング

従来のLinuxのセキュリティは、壊れたソフトウェアからの最小限の保護、または通常ユーザーあるいはrootとして実行されるマルウェアからの最小限の保護を提供する、任意アクセス制御(DAC)ポリシーに基づいていました。 ファイルやデバイスへのアクセスは、ユーザーIDと所有権のみに基づいています。 マルウェアや壊れたソフトウェアは、プロセスを起動したユーザーがファイルやリソースに対して実行できることはすべて実行できます。 ユーザーがrootの場合、またはアプリケーションがrootsetuidまたはsetgidされている場合、プロセスはファイル・システム全体に対するrootアクセス制御を持つことができます。

国家安全保障局は、Linuxオペレーティング・システムのファイル、プロセス、ユーザー、アプリケーションの詳細レベルでの制御を可能にするために、Security Enhanced Linux (SELinux)を策定しました。 LinuxカーネルのSELinux拡張により、強制アクセス制御(MAC)ポリシーが実装され、すべてのユーザー、プログラム、プロセス、ファイル、デバイスに詳細な権限を提供するセキュリティ・ポリシーを定義できるようになりました。 カーネルのアクセス制御の決定は、認証されたユーザーIDだけでなく、利用可能なすべてのセキュリティ関連情報に基づいて行われます。

プロセスがファイルを開こうとするなど、セキュリティ関連アクセスが発生すると、SELinuxはカーネルの操作をインターセプトします。 MACポリシー・ルールでこの操作が許可される場合、操作は続行されます。許可されない場合、SELinuxは操作をブロックして、プロセスにエラーを戻します。 カーネルは、MACルールの前にDACポリシー・ルールを確認して実施するため、DACルールでリソースへのアクセスが拒否された場合、SELinuxポリシー・ルールは確認されません。

次の表に、デフォルトでOracle LinuxにインストールされているSELinuxパッケージを示します。

パッケージ

説明

policycoreutils

load_policyrestoreconseconsetfilessemodulesestatusおよびsetseboolなど、SELinuxを操作および管理するためのユーティリティを提供します。

libselinux

SELinuxアプリケーションがプロセスおよびファイル・セキュリティのコンテキストを取得および設定し、セキュリティ・ポリシー決定を取得するためのAPIを提供します。

selinux-policy

SELinux targetedポリシーなどのポリシーの基礎として使用される、SELinux Referenceポリシーを提供します。

selinux-policy-targeted

ターゲット・ドメイン外のオブジェクトがDACのもとで動作する、SELinux targetedポリシーをサポートします。

libselinux-python

SELinuxアプリケーションを開発するためのPythonバインディングが含まれます。

libselinux-utils

avcstatgetenforcegetseboolmatchpathconselinuxconlistselinuxdefconselinuxenabledsetenforceおよびtoggleseboolユーティリティを提供します。

次の表に、デフォルトではインストールされていない有用なSELinuxパッケージをいくつか示します。

パッケージ

説明

mcstrans

s0-s0:c0.c1023などのSELinuxレベルをSystemLow-SystemHighなどの判読しやすい形式に変換します。

policycoreutils-gui

SELinuxの管理に使用できるGUI (system-config-selinux)を提供します。 たとえば、GUIを使用して、モードおよびポリシー・タイプを実施するシステム・デフォルトを設定できます。

policycoreutils-python

audit2allowaudit2whychcatおよびsemanageなど、SELinuxを操作するための追加のPythonユーティリティを提供します。

selinux-policy-mls

SELinux targetedポリシーのかわりに厳格なMultilevel Security (MLS)ポリシーをサポートします。

setroubleshoot

sealertコマンドを使用してsetroubleshoot-serverメッセージを表示するためのGUIを提供します。

setroubleshoot-server

sealertコマンドを使用して、SELinuxからのアクセス拒否メッセージをコマンド・ラインで参照できる詳細な説明に変換します。

setools-console

Tresys TechnologyのSEToolsツールおよびライブラリ・ディストリビューションを提供します。これを使用して、ポリシーの分析および問合せ、監査ログの監視およびレポート、ファイル・コンテキストの管理を行うことができます。

システムで必要なSELinuxパッケージをインストールするには、yumまたは他の適切なパッケージ・マネージャを使用します。

SELinuxの詳細は、SELinuxプロジェクトのWikiselinux(8)マニュアル・ページおよびSELinuxコマンドのマニュアル・ページを参照してください。

Copyright © 2013, 2021, Oracle and/or its affiliates. 法律上の注意点