2.1 Security-Enhanced Linuxの使用
SELinuxは、必須アクセス制御(MAC)を含むアクセス制御セキュリティ・ポリシーをサポートするメカニズムを提供するLinuxカーネル・セキュリティ・モジュールです。
Oracle Exadata System Softwareリリース21.2.0以降、Oracle Exadata上のすべてのLinuxインストールには、Exadataユーザー、プログラム、プロセス、ファイルおよびデバイスに対してきめ細かい権限を実装する事前定義済のSELinuxポリシーが装備されています。各サーバーには、Oracle Exadata上のSELinuxに対して単純な管理および監視機能を提供するhost_access_controlユーティリティ(/opt/oracle.cellos/host_access_control)も含まれています。
さらに、Oracle Exadata System Softwareリリース25.2.0以降、すべての新しいExadata実装では、デフォルトでSELinuxが許可モードで使用されます。
SELinuxは、許可モードまたは強制モードで動作できます。許可モードでは、SELinuxはシステムをアクティブに監視し、監査ログにポリシー違反を記録します。ただし、許可モードではブロックされるアクションはありません。強制モードが有効になっている場合、SELinuxはポリシー違反をアクティブにブロックし、監査ログに操作を記録します。
Oracle ExadataのSELinuxに関して、次の点に注意してください:
-
事前定義済のExadataセキュリティ・ポリシーがサイトのすべてのアプリケーションおよびプロシージャと組み合せて動作するように、最初は許可モードをしばらく使用することをお薦めします。
システムが許可モードの間、
ausearchなどの標準のSELinuxコマンドを使用してポリシー違反を監視する必要があります。許可モードでの完全なシステム操作でポリシー違反が発生しない場合、強制モードに簡単に移行できます。 -
事前定義されたExadataセキュリティ・ポリシーのソース・ファイルは、
/opt/oracle.SupportTools/selinuxにあります。ファイル・コンテキスト定義は/opt/oracle.SupportTools/selinux/Exadata.fcに含まれ、タイプ強制定義は/opt/oracle.SupportTools/selinux/Exadata.teに含まれています。これらのファイルを表示すると、Exadataセキュリティ・ポリシーを確認できます。 -
事前定義済Exadataセキュリティ・ポリシーの変更はサポートされていません。また、サポートされていない変更は、次回Oracle Exadata System Softwareをアップグレードしたときに上書きされます。
-
追加のセキュリティ・ポリシーを自由に実装できます。たとえば、標準のSELinuxオペレーティング・システム・コマンドを使用して追加のポリシーを手動で作成したり、
audit2allowコマンドを使用して、監査ログに記録されたポリシー違反に対処するポリシー定義を生成できます。
Oracle ExadataでSELinuxを管理するには、次の手順を使用します: