カーネル 2.6 の時代には、アクセス制御セキュリティ ポリシーのメカニズムを提供するために新しいセキュリティ システムが導入されました。このシステムは、米国国家安全保障局 (NSA) によって提供された Security Enhanced Linux (SELinux) です。Linux カーネル サブシステムに堅牢な強制アクセス制御アーキテクチャを導入します。 これまで Linux を使い続けて SELinux を無効にしたり無視したりしてきた方にとって、この記事は役に立つでしょう。Linux デスクトップまたはサーバーの下位に存在し、権限を制限し、脆弱なプログラムやデーモンが損害を引き起こす可能性を排除する SELinux システムの概要を説明します。 始める前に、SELinux は主に Red Hat Linux とその派生ディストリビューションで利用できるツールであることを知っておく必要があります。同様に、Ubuntu と SUSE (およびその派生製品) は AppArmor を使用します。 SELinux と AppArmor は大きく異なります。 SELinux は SUSE、openSUSE、Ubuntu などにインストールできますが、Linux に非常に精通していない限り、非常に困難です。 それでは、SELinux について紹介したいと思います。 DAC 対 MAC Linux における従来のアクセス制御標準は、任意アクセス制御 (DAC) です。この形式では、ソフトウェアまたはデーモンはユーザー ID (UID) またはセット所有者ユーザー ID (SUID) として実行され、オブジェクト (ファイル、ソケット、およびその他のプロセス) に対するそのユーザーの権限を持ちます。これにより、悪意のあるコードが特定の権限で実行され、重要なサブシステムにアクセスすることが容易になります。 一方、強制アクセス制御 (MAC) は、機密性と整合性に基づいて情報の分離を強制し、損害を制限します。この制限ユニットは、従来の Linux セキュリティ メカニズムとは独立して動作し、スーパーユーザーの概念はありません。 SELinuxの仕組み SELinux に関連する概念について考えてみましょう。
サブジェクト (プログラムなど) がターゲット オブジェクト (ファイルなど) にアクセスしようとすると、カーネル内の SELinux セキュリティ サーバーがポリシー データベースからチェックを実行します。現在のモードに基づいて、SELinux セキュリティ サーバーが権限を付与すると、プリンシパルはターゲットにアクセスできます。 SELinux セキュリティ サーバーが権限を拒否した場合、拒否メッセージが /var/log/messages に記録されます。 比較的簡単そうに聞こえますね。実際のプロセスはより複雑ですが、紹介を簡略化するために重要な手順のみを記載します。 モデル SELinux には 3 つのモード (ユーザーが設定可能) があります。これらのモードは、SELinux がプリンシパル要求に応答する方法を決定します。これらのモードは次のとおりです。
図 1: getenforce コマンドは、SELinux が Enforcing 状態にあることを示します。 デフォルトでは、ほとんどのシステム上の SELinux は Enforcing に設定されています。システムが現在どのモードになっているかはどうすればわかりますか?これは、簡単なコマンド getenforce で確認できます。このコマンドの使い方は非常に簡単です (SELinux のモードを報告するだけなので)。このツールを使用するには、ターミナル ウィンドウを開いて getenforce コマンドを実行します。このコマンドは、Enforcing、Permissive、または Disabled を返します (上記の図 1 を参照)。 SELinux モードの設定は実際には非常に簡単です。設定するモードによって異なります。注意: SELinux を無効にすることは決して推奨されません。なぜ?これを実行すると、ディスク上のファイルに誤った権限ラベルが付けられる可能性があり、修正するには権限ラベルの再設定が必要になる場合があります。また、無効モードで起動されたシステムのモードを変更することはできません。最適なモードは、Enforcing または Permissive です。 SELinux モードは、コマンドラインまたは /etc/selinux/config ファイルから変更できます。コマンドラインからモードを設定するには、setenforce ツールを使用できます。強制モードを設定するには、次の手順を実行します。
図 2: SELinux モードを Enforcing に設定する。 モードを Permissive に設定するには、次の手順を実行します。
図 3: SELinux モードを Permissive に設定する。 注意: コマンドラインでモードを設定すると、SELinux 構成ファイルの設定が上書きされます。 SELinux コマンド ファイルでモードを設定する場合は、お気に入りのエディターでそのファイルを開き、次の行を見つけます。 SELINUX=許容 好みに応じてモードを設定し、ファイルを保存できます。 SELinux モードを変更する 3 番目の方法 (ブートローダー経由) もありますが、新しいユーザーにはこれをお勧めしません。 戦略タイプ SELinux ポリシーには 2 種類あります。
/etc/selinux/config ファイルでポリシー タイプを変更できます。お気に入りのエディターでこのファイルを開き、次の行を見つけます。 SELINUXTYPE=ターゲット ニーズに合わせてこのオプションをターゲットまたは厳格に変更します。 完全なSELinuxステータスを確認する SELinux 対応システムの詳細なステータス レポートを取得するために使用できる便利な SELinux ツールがあります。このコマンドはターミナルで次のように実行されます: セステータス -v 図 4 のような出力が表示されます。 図 4: sestatus -v コマンドの出力。 皮膚だけ ご想像のとおり、私は SELinux についてはまだ表面的な部分しか触れていません。 SELinux は確かに複雑なシステムであり、その仕組みとデスクトップやサーバーでより適切に動作させる方法をよりしっかりと理解するには、より深い調査が必要です。トラブルシューティングとカスタム SELinux ポリシーの作成についてはまだ説明していません。 SELinux は、すべての Linux 管理者が知っておくべき強力なツールです。 SELinux について紹介したので、Linux.com に戻るか (このトピックに関する記事がさらに公開されています)、より詳細なガイドについては NSA SELinux ドキュメントを確認することを強くお勧めします。 以上がこの記事の全内容です。皆様の勉強のお役に立てれば幸いです。また、123WORDPRESS.COM を応援していただければ幸いです。 以下もご興味があるかもしれません:
|
<<: Mac インストール mysqlclient プロセス分析
>>: Navicat の MySQL へのリモート接続の実装手順の分析
ドメイン名を使ってプロジェクトにアクセスする方法が気になったのですが、自分でドメイン名を取得するのは...
この記事では、簡単なドラッグ効果を実現するためのJavaScriptの具体的なコードを参考までに紹介...
MySQL 5.5.56無料インストール版の設定方法をテキストコードで詳しく説明します。具体的な内容...
1. ビジネスシナリオ最近はファイルのアップロードやダウンロードに関する開発をしています。ダウンロー...
通常、ユーザーがアップロードした写真はデータベースに保存する必要があります。一般的に、解決策は 2 ...
半透明の境界線結果: 実装コード: <div> 半透明の境界線が見えますか? </...
ページの主要部分: <body> <ul id="メニュー"&...
一般的なフォーム プロンプトは常にフォームのスペースを占有し、フォームが長くなったり広くなったりして...
目次1. ビューフック1. ngAfterViewInit および ngAfterViewCheck...
この記事では、検証コード干渉を実装するためのjsの具体的なコードを参考までに共有します。具体的な内容...
目次1. 実装2. 問題点3. より良い実装方法があるかどうか検討する要約する背景は日付のタイトルで...
すべてには基礎が必要です。家を建てるには基礎が必要です。方程式を解くには、まず九九を覚える必要があり...
<div align="center"> <table sty...
序文:基本的に、自社で使用する場合でも、顧客向けにサーバーを展開する場合でも、MySQL のバックア...
Oracle データベースから MySQL データベースへの移行では、Oracle データベース モ...