機械翻訳について

Targetedポリシー

ターゲット・ポリシーは、システムへの攻撃でリスクの高いターゲットであると考えられる限られた数のプロセスにアクセス制御を適用します。 ターゲット・プロセスは、攻撃者が悪用する可能性のあるファイルへのアクセスを制限する、制限されたドメインと呼ばれる独自のSELinuxドメインで実行されます。 ターゲット・プロセスが制限されたドメイン外のリソースにアクセスを試みていることが検出された場合、SELinuxはこれらのリソースへのアクセスを拒否して、拒否を記録します。

制限されたドメインでは、特定のサービスのみが実行されます。 例として、httpdnamedsshdなど、ネットワーク上でクライアント・リクエストをリスニングするサービス、およびpasswdなど、ユーザーのかわりにタスクを実行するためにrootとして実行されるプロセスがあげられます。 ほとんどのユーザー・プロセスを含む他のプロセスは、DACルールのみが適用される「制限のないドメイン」で実行されます。 制限されていないプロセスが攻撃によって危険にさらされた場合、SELinuxはシステム・リソースおよびデータへのアクセスを防ぐことはできません。

次の表に、SELinuxドメインの例を示します。

ドメイン 説明

init_t

systemd

httpd_t

HTTPデーモン・スレッド

kernel_t

カーネル・スレッド

syslogd_t

journaldおよびrsyslogdロギング・デーモン

unconfined_t

Oracle Linuxユーザーによって起動されるプロセスは制限されていないドメインで実行されます