■ はじめに

SELinux についてメモ。

【１】SELinux
　補足：任意アクセス制御と強制アクセス制御
【２】利点
【３】機能
【４】動作モード
【５】設定変更方法
【６】関連コマンド
　１）sestatusコマンド
　２）chconコマンド
　３）restoreconコマンド
　４）semanageコマンド

【１】SELinux

* SELinux = Security-Enhanced-Linux 
 => 【直訳】セキュリティ強化されたLinux
* Linuxに強制アクセス制御機能 (MAC: Mandatory Access Control) 
　を加えるモジュール

より抜粋

任意アクセス制御（DAC：Discretionary Access Control）

* リソースの所有者にアクセス制御を任せる方式

強制アクセス制御（MAC: Mandatory Access Control）

* リソース所有者の意図に関らず、
　システムの管理者により一定のアクセス制御を強制する方式

 * 細かなアクセス制御が可能になり、
　セキュリティ強化になる

補足事項

* サーバ侵入されたとしても被害を最小限に食い止めるため
　の仕組みで、あくまで事後防衛手段である
　=> 侵入自体を防衛するための仕組みではないことに注意

[1] TE（type enforcement）
[2] ドメイン遷移
[3] RBAC（Role Based Access Control:ロールベースアクセス制御）
[4] MAC（Mandatory Access Control：強制アクセス制御）

[1] Enforcing

* SELinux 有効
* ルール外の動作があれば止める

[2] Permissive

* SELinux 有効
* ただしルール外の動作はログに記録するのみ

[3] Disable

* SELinux 無効。

sudo vi /etc/selinux/config
～～～～～～
SELINUX=permissive
～～～～～～

# OS再起動
sudo reboot

【関連用語】SELinux コンテキスト

 * ls コマンドや ps コマンドに -Z オプションを
　つけることで確認でき、「:」で区切られた 4 つの項目からなり、
　それぞれユーザー、ロール、タイプ、機密ラベルで構成

* SELinux の状態を表示

例

sestatus

* chcon = CHange file selinux security CONtext
* ファイルのSELinuxコンテキストを一時的に変更

例

sudo chcon -R -t httpd_sys_rw_content_t /var/www/cgi-bin

sudo chcon -R -t httpd_sys_rw_content_t /var/www/taskboard

* RESTORE file(s) default selinux security CONtext
* デフォルトの状態に戻す

例

sudo restorecon -R /var/www/cgi-bin

* SElinux  policy MANAGEment tool
* ファイルのSELinuxコンテキストを永続的に変更

例

sudo semanage fcontext -a -t httpd_sys_rw_content_t /var/www/cgi-bin