このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
3.7.5項「SELinuxコンテキストについて」で説明したように、各SELinuxユーザー・アカウントは通常のOracle Linuxユーザー・アカウントを補完します。 SELinuxは、すべてのOracle Linuxユーザーを、ユーザー・セッション内のプロセスのSELinuxコンテキストで使用されるSELinuxユーザーIDにマップします。
SELinuxユーザーはSELinuxポリシーの一部であり、特定のロール・セットおよび特定のMLS (Multi-Level Security)範囲に対する権限が与えられ、各Oracle Linuxユーザーはポリシーの一部としてSELinuxユーザーにマップされます。 このため、Linuxユーザーは、SELinuxユーザーに設定されている制限やセキュリティ・ルールやメカニズムを継承します。 ユーザーのロールやレベルを定義するために、マップされたSELinuxユーザーIDがセッション内のプロセスのSELinuxコンテキストで使用されます。 ユーザー・マッピングは、SELinux管理GUIの「ユーザー・マッピング」ビューで表示できます。 コマンド・ラインからSELinuxユーザー・アカウントとOracle Linuxユーザー・アカウント間のマッピングを表示することもできます。
# semanage login –l
Login Name SELinux User MLS/MCS Range
_default_ unconfined_u s0-s0:c0.c1023
root unconfined_u s0-s0:c0.c1023
system_u system_u s0-s0:c0.c1023
MLS/MCS範囲列には、MLSとMCSで使用されるレベルが表示されます。
デフォルトでは、Oracle LinuxユーザーはSELinuxユーザーunconfined_u
にマップされます。
下表に示すセキュリティ・ルールおよびメカニズムが事前定義された、制限されたドメイン内のSELinuxユーザーにOracle Linuxユーザーをマップすることで、Oracle Linuxユーザーを制限するようSELinuxを構成できます。
SELinuxユーザー | SELinuxドメイン | suの実行の可否 | ネットワークへのアクセスの可否 | X Window Systemを使用したログインの可否 |
|
---|---|---|---|---|---|
|
| 不可 | 不可 | 不可 | 不可 |
|
| 可 | 可 | 可 | 可 |
|
| 不可 | 可 | 可 | 可 |
|
| 不可 | Firefoxのみ | 可 | 不可 |