制限付きSELinuxユーザーについて
SELinuxには、様々なセキュリティ・ドメインに限定されている、また、ユーザーが実行できる操作を制御するためのセキュリティ・ルールおよびメカニズムが事前定義されている、複数の制限付きユーザーが含まれています。SELinuxポリシーには、ユーザーが属することができる様々なロールに適用されるルールが含まれています。これらは、各SELinuxユーザーにどの操作を許可するかを強制するために使用されます。
慣例により、SELinuxユーザーの接尾辞は_u
になります(user_u
など)。
Oracle Linuxには、システム・アクセスを即時に制限できるようにすでに設定されている複数のSELinuxユーザーが含まれています。
-
unconfined_u
- ほぼ無制限のSELinuxユーザーが、多くの場合、制限の少ない環境を実現するために、新しいシステム上のシステム・ユーザー・アカウントに対するデフォルトのSELinuxユーザー・マッピングとして設定されます。堅牢な環境では、システム・ユーザー・アカウントをこのユーザーにマップする必要はありません。
-
root
- rootアカウント用のSELinuxユーザー。
-
sysadm_u
- 直接的システム管理ロールが割り当てられたSELinuxユーザー。このユーザーは、管理以外のコマンドの実行を目的としていません。
-
staff_u
- 管理以外のコマンド(
staff_r
ロールを使用)と管理コマンド(sysadm_r
ロールを使用)の両方を実行する必要があるユーザー用のSELinuxユーザー。 -
user_u
- 管理コマンドを実行する必要がない非特権アカウント用のSELinuxユーザー。
-
system_u
- システム・サービス用のSELinuxユーザー。
-
xguest_u
- システムへのゲスト・アクセス用のSELinuxユーザーであり、非常に限定されたアクセス権でプロビジョニングされます。
ユーザーは各自のSELinuxドメインに限定されます。また、ポリシーによって、システムで実行できる操作のタイプが制御されます。次の表に、事前定義された特定のセキュリティ・ルールが様々なユーザーに対してどのように機能するかを示します
SELinuxユーザー | SELinuxドメイン | suおよびsudoの実行の可否 | ネットワーク・アクセスの可否 | X Window Systemを使用したログインの可否 | $HOMEおよび/tmpでのアプリケーション実行の可否 |
---|---|---|---|---|---|
|
|
不可 |
可 |
不可 |
不可 |
|
|
sudo |
可 |
可 |
可 |
|
|
可 |
可 |
可 |
可 |
|
|
不可 |
可 |
可 |
可 |
|
|
不可 |
Firefoxのみ |
可 |
不可 |
SELinuxユーザーは、SELinux内の標準のOracle Linuxシステム・ユーザーとは別に区別および管理されます。Oracle Linuxシステム・ユーザー・アカウントを様々なSELinuxユーザーにマップして、より制限の厳しいセキュリティ・ポリシー・フレームワークをシステム・ユーザー・アカウントに適用できます。