制限付きSELinuxユーザーについて
SELinuxには、様々なセキュリティ・ドメインに制限され、ユーザーに許可される操作を制御するための事前定義されたセキュリティ・ルールおよびメカニズムを持つ、いくつかの限定されたユーザーが含まれます。 SELinuxポリシーには、ユーザーが属することができる様々なロールに適用されるルールが含まれ、これらは、各SELinuxユーザーに許可される操作を強制するために使用されます。
慣例により、SELinuxユーザーの接尾辞は_uになります(user_uなど)。
Oracle Linuxには、システム・アクセスを即時に制限するために使用できる事前定義済のSELinuxユーザーがいくつか含まれています:
-
unconfined_u - ほとんどの場合、制限のないSELinuxユーザーは、制限の少ない環境のデフォルトのSELinuxユーザー・マッピングとして設定されます。 堅牢な環境では、システム・ユーザー・アカウントをこのユーザーにマップする必要はありません。
-
root - rootアカウント用のSELinuxユーザー。
-
sysadm_u - 直接的システム管理ロールが割り当てられたSELinuxユーザー。 このユーザーは、管理以外のコマンドの実行を目的としていません。
-
staff_u - 管理以外のコマンド(
staff_rロールを使用)と管理コマンド(sysadm_rロールを使用)の両方を実行する必要があるユーザー用のSELinuxユーザー。 -
user_u - 管理コマンドを実行する必要がない非特権アカウント用のSELinuxユーザー。
-
system_u - システム・サービス用のSELinuxユーザー。
-
xguest_u - システムへのゲスト・アクセス用のSELinuxユーザーであり、非常に限定されたアクセス権でプロビジョニングされます。
ユーザーは各自のSELinuxドメインに限定されます。また、ポリシーによって、システムで実行できる操作のタイプが制御されます。 次の表に、事前定義された特定のセキュリティ・ルールが様々なユーザーに対してどのように機能するかを示します
| SELinuxユーザー | SELinuxドメイン | suおよびsudoの実行の可否 | ネットワーク・アクセスの可否 | X Window Systemを使用したログインの可否 | $HOMEおよび/tmpでのアプリケーション実行の可否 |
|---|---|---|---|---|---|
|
|
|
いいえ |
はい |
いいえ |
いいえ |
|
|
|
sudo |
はい |
はい |
はい |
|
|
|
はい |
はい |
はい |
はい |
|
|
|
いいえ |
はい |
はい |
はい |
|
|
|
いいえ |
Firefoxのみ |
はい |
いいえ |
SELinuxユーザーは、SELinux内の標準のOracle Linuxシステム・ユーザーとは別に区別および管理されます。 Oracle Linuxシステム・ユーザー・アカウントを様々なSELinuxユーザーにマップして、より制限の厳しいセキュリティ・ポリシー・フレームワークをシステム・ユーザー・アカウントに適用できます。