1. システム・セキュリティの拡張
  2. システム・セキュリティの管理
  3. SELinuxについて

SELinuxについて

デフォルトでは、SELinuxは、新しいOracle Linuxインストールで自動的に有効になります。

Linuxのセキュリティは以前、壊れたソフトウェアからの最小限の保護、または通常ユーザーまたはrootとして実行されるマルウェアからの最小限の保護を提供する、任意アクセス制御(DAC)ポリシーに基づいていました。ファイルやデバイスへのアクセスは、ユーザーIDと所有権のみに基づいています。マルウェアや不正な構成のソフトウェアは、プロセスを起動したユーザーがファイルやリソースに対して実行できることはすべて実行できます。ユーザーがrootの場合、またはアプリケーションがrootsetuidまたはsetgidされている場合、プロセスはファイル・システム全体に対するrootアクセス制御を持つことができます。

国家安全保障局は、Linuxのファイル、プロセス、ユーザー、アプリケーションの詳細レベルでの制御を可能にするために、Security Enhanced Linux (SELinux)を策定しました。LinuxカーネルのSELinux拡張により、強制アクセス制御(MAC)ポリシーが実装され、これを使用して、すべてのユーザー、プログラム、プロセス、ファイル、デバイスに詳細な権限を提供するセキュリティ・ポリシーを定義できるようになりました。カーネルのアクセス制御の決定は、認証されたユーザーIDだけでなく、利用可能なすべてのセキュリティ関連情報に基づいて行われます。

プロセスがファイルを開こうとするなど、セキュリティ関連アクセスが発生すると、SELinuxはカーネル・レベルで操作をインターセプトします。この操作は、MACポリシー・ルールで許可されている場合にのみ続行されます。それ以外の場合、SELinuxは操作をブロックして、プロセスにエラーを返します。カーネルは、MACルールの前にDACポリシー・ルールを確認して実施するため、DACルールでリソースへのアクセスが拒否された場合、SELinuxポリシー・ルールは確認されません。

タスク関連情報などのSELinuxの詳細は、『Oracle Linux SELinuxの管理』を参照してください。

SELinuxプロジェクトのWikiおよびselinux(8)マニュアル・ページも参照してください。