49.8. ターゲットポリシーの概要

SELinux ポリシーは高度な設定が可能です。Red Hat Enterprise Linux 5 では、Red Hat はターゲットポリシーである単一のポリシー をサポートし て います。targeted ポリシーでは、特定のターゲットデーモンを 除き、すべてのサブジェクトとオブジェクトは unconfined_t ドメインで実行されます。unconfined_t ドメインにあるオブジェクトには制限がなく、標準の Linux セキュリティー( DAC )の使用にフォールバックします。ターゲットポリシーの一部であるデーモンは、独自のドメインで実行され、システムで実行するすべての操作で制限されます。このようにして、悪用されたデーモンや侵害されたデーモンは、どのような方法でも含まれており、限られた損傷しか発生しない可能性があります。

たとえば、http デーモンと ntp デーモンは、デフォルトのターゲットポリシーで保護されており、それぞれ httpd_t ドメインと ntpd_t ドメインで実行されます。ただし、ssh デーモンはこのポリシーでは保護されないため、unconfined_t ドメインで実行されます。

以下の出力例を参照してください。これは、上記のデーモンのさまざまなドメインを示しています。

user_u:system_r:httpd_t         25129 ?        00:00:00 httpd
user_u:system_r:ntpd_t          25176 ?        00:00:00 ntpd
system_u:system_r:unconfined_t         25245 ? 00:00:00 sshd

strict ポリシーはより複雑な環境であり、Red Hat Enterprise Linux には同梱されていません。本ガイドでは、Red Hat Enterprise Linux に同梱されるターゲットポリシーと、ターゲットデーモンが使用する SELinux のコンポーネントに重点を置いています。

対象のデーモンは、dhcpd; httpd; mysqld; named; nscd; ntpd; portmap; postgres; snmpd; squid; syslogd; winbind です。