このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
従来のLinuxのセキュリティは、壊れたソフトウェアからの最小限の保護、または通常ユーザーあるいはroot
として実行されるマルウェアからの最小限の保護を提供する、任意アクセス制御(DAC)ポリシーに基づいていました。 ファイルやデバイスへのアクセスは、ユーザーIDと所有権のみに基づいています。 マルウェアや壊れたソフトウェアは、プロセスを起動したユーザーがファイルやリソースに対して実行できることはすべて実行できます。 ユーザーがroot
の場合、またはアプリケーションがroot
にsetuid
またはsetgid
されている場合、プロセスはファイル・システム全体に対するroot
アクセス制御を持つことができます。
国家安全保障局は、Linuxオペレーティング・システムのファイル、プロセス、ユーザー、アプリケーションの詳細レベルでの制御を可能にするために、Security Enhanced Linux (SELinux)を策定しました。 LinuxカーネルのSELinux拡張により、強制アクセス制御(MAC)ポリシーが実装され、すべてのユーザー、プログラム、プロセス、ファイル、デバイスに詳細な権限を提供するセキュリティ・ポリシーを定義できるようになりました。 カーネルのアクセス制御の決定は、認証されたユーザーIDだけでなく、利用可能なすべてのセキュリティ関連情報に基づいて行われます。
プロセスがファイルを開こうとするなど、セキュリティ関連アクセスが発生すると、SELinuxはカーネルの操作をインターセプトします。 MACポリシー・ルールでこの操作が許可される場合、操作は続行されます。許可されない場合、SELinuxは操作をブロックして、プロセスにエラーを戻します。 カーネルは、MACルールの前にDACポリシー・ルールを確認して実施するため、DACルールでリソースへのアクセスが拒否された場合、SELinuxポリシー・ルールは確認されません。
次の表に、デフォルトでOracle LinuxにインストールされているSELinuxパッケージを示します。
パッケージ | 説明 |
---|---|
|
|
| SELinuxアプリケーションがプロセスおよびファイル・セキュリティのコンテキストを取得および設定し、セキュリティ・ポリシー決定を取得するためのAPIを提供します。 |
| SELinux targetedポリシーなどのポリシーの基礎として使用される、SELinux Referenceポリシーを提供します。 |
| ターゲット・ドメイン外のオブジェクトがDACのもとで動作する、SELinux targetedポリシーをサポートします。 |
| SELinuxアプリケーションを開発するためのPythonバインディングが含まれます。 |
| avcstat、getenforce、getsebool、matchpathcon、selinuxconlist、selinuxdefcon、selinuxenabled、setenforceおよびtoggleseboolユーティリティを提供します。 |
次の表に、デフォルトではインストールされていない有用なSELinuxパッケージをいくつか示します。
パッケージ | 説明 |
---|---|
|
|
| SELinuxの管理に使用できるGUI (system-config-selinux)を提供します。 たとえば、GUIを使用して、モードおよびポリシー・タイプを実施するシステム・デフォルトを設定できます。 |
| audit2allow、audit2why、chcatおよびsemanageなど、SELinuxを操作するための追加のPythonユーティリティを提供します。 |
| SELinux targetedポリシーのかわりに厳格なMultilevel Security (MLS)ポリシーをサポートします。 |
|
sealertコマンドを使用して |
| sealertコマンドを使用して、SELinuxからのアクセス拒否メッセージをコマンド・ラインで参照できる詳細な説明に変換します。 |
| Tresys TechnologyのSEToolsツールおよびライブラリ・ディストリビューションを提供します。これを使用して、ポリシーの分析および問合せ、監査ログの監視およびレポート、ファイル・コンテキストの管理を行うことができます。 |
システムで必要なSELinuxパッケージをインストールするには、yumまたは他の適切なパッケージ・マネージャを使用します。
SELinuxの詳細は、SELinuxプロジェクトのWiki、selinux(8)
マニュアル・ページおよびSELinuxコマンドのマニュアル・ページを参照してください。