制限付きSELinuxユーザーについて

SELinuxには、様々なセキュリティ・ドメインに限定されている、また、ユーザーが実行できる操作を制御するためのセキュリティ・ルールおよびメカニズムが事前定義されている、複数の制限付きユーザーが含まれています。SELinuxポリシーには、ユーザーが属することができる様々なロールに適用されるルールが含まれています。これらは、各SELinuxユーザーにどの操作を許可するかを強制するために使用されます。

慣例により、SELinuxユーザーの接尾辞は_uになります(user_uなど)。

Oracle Linuxには、システム・アクセスを即時に制限できるようにすでに設定されている複数のSELinuxユーザーが含まれています。

unconfined_u
ほぼ無制限のSELinuxユーザーが、多くの場合、制限の少ない環境を実現するために、新しいシステム上のシステム・ユーザー・アカウントに対するデフォルトのSELinuxユーザー・マッピングとして設定されます。堅牢な環境では、システム・ユーザー・アカウントをこのユーザーにマップする必要はありません。
root
rootアカウント用のSELinuxユーザー。
sysadm_u
直接的システム管理ロールが割り当てられたSELinuxユーザー。このユーザーは、管理以外のコマンドの実行を目的としていません。
staff_u
管理以外のコマンド(staff_rロールを使用)と管理コマンド(sysadm_rロールを使用)の両方を実行する必要があるユーザー用のSELinuxユーザー。
user_u
管理コマンドを実行する必要がない非特権アカウント用のSELinuxユーザー。
system_u
システム・サービス用のSELinuxユーザー。
xguest_u
システムへのゲスト・アクセス用のSELinuxユーザーであり、非常に限定されたアクセス権でプロビジョニングされます。

ユーザーは各自のSELinuxドメインに限定されます。また、ポリシーによって、システムで実行できる操作のタイプが制御されます。次の表に、事前定義された特定のセキュリティ・ルールが様々なユーザーに対してどのように機能するかを示します

SELinuxユーザー SELinuxドメイン suおよびsudoの実行の可否 ネットワーク・アクセスの可否 X Window Systemを使用したログインの可否 $HOMEおよび/tmpでのアプリケーション実行の可否

guest_u

guest_t

不可

不可

不可

staff_u

staff_t

sudo

system_u

ssystem_t

user_u

user_t

不可

xguest_x

xguest_t

不可

Firefoxのみ

不可

SELinuxユーザーは、SELinux内の標準のOracle Linuxシステム・ユーザーとは別に区別および管理されます。Oracle Linuxシステム・ユーザー・アカウントを様々なSELinuxユーザーにマップして、より制限の厳しいセキュリティ・ポリシー・フレームワークをシステム・ユーザー・アカウントに適用できます。