今回はSELinuxが実際に何をしているのかの真相に迫るため、セキュリティポリシーを分析します。分析により、あるプロセスが攻撃された場合に、攻撃者の悪事をどこまで封じ込められるのかを事前に知ることができます。

設定を分析するためのツール

 前回紹介したように、セキュリティポリシー設定は複数のファイルに格納されており、また中核となるallow文は約10万もあるため、手作業で把握することは現実的ではありません。実際には、表1にあるような三つのコマンドを駆使してセキュリティポリシーを分析します。

表1●セキュリティポリシーを分析するために使うコマンド
表1●セキュリティポリシーを分析するために使うコマンド
[画像のクリックで拡大表示]

 Cent OS 7のデフォルトでは、これらのコマンドのうちseinfoとsesearchがありません。この二つは「SETools」と呼ばれるパッケージに入っています。SEToolsとは、米Tresys Technology社によって開発された、SELinuxのセキュリティポリシーを分析するためのツールで、GitHub(https://github.com/TresysTechnology/setools)でソースが公開されています。Tresys Technology社は古くからSELinuxコミュニティーの中核になっており、SEToolsも広く使われています。SEToolsにはGUIもあるのですが、コマンドライン版の方がよく用いられます。次のコマンドで、コマンドライン版のSEToolsをインストールします。

# yum install setools-console