• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

IoT時代の最新SELinux入門

わかりにくいSELinuxセキュリティの勘所を図で理解

中村 雄一=日立製作所、協力:OSSセキュリティ技術の会 2017/06/15 日経Linux
出典:日経Linux 2017年4月号
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

 SELinuxをどう設定・運用していくのかの前提知識として、SELinuxの機能と仕組みの理解が欠かせません。SELinuxの主な機能は表1の通りです。

表1●SELinuxの主な機能
[画像のクリックで拡大表示]

 TEがプロセスごとに最小限の権限を割り当て、MCSは仮想化環境の分離に使われます。RBACは、ログインユーザーの権限を分ける機能で、例えばDB管理専門のユーザーを作れます。MLSは、軍事向けで、リソースにレベルを付け、その上下関係でアクセスを制御します。監査ログは、SELinuxの設定時や攻撃された場合の分析などに用いられます。Userland AVCは、アプリケーション独自のパーミッション(例:携帯電話の電話帳アクセス権限など)を、SELinuxでチェックできるようにする機能です。

 今回は、LinuxサーバーでSELinuxを使っていく上で重要な機能となる「TE」と「MCS」を図解します。

最小限の権限を割り当てるTE

 プロセスごとに最小限の権限を割り当てるための機能が「TE(Type Enforcement)」です。SELinuxを設定・運用するすべての人が知っておく必要があります。TE自体は1980年代に誕生し、長い歴史の中で成熟したものです。図1の例を用いてTEの仕組みを説明します。

図1●SELinuxの基本機能「TE(Type Enforcement)」
[画像のクリックで拡大表示]

(0)すべての設定が「セキュリティポリシー」に記載されています。システムのブート時にカーネルに読み込まれています。セキュリティポリシーには、「誰が、何に、どんなアクセスを許可するか」の設定が列挙されています。「誰が」を識別するために「ドメイン」というラベルがすべてのプロセスに付与され、「何に」を識別するために「タイプ」と呼ばれるラベルがファイルなどのリソースに付与されます。

ここから先はITpro会員(無料)の登録が必要です。

次ページ (1)ドメインの設定もセキュリティポリシーに記載...
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る