Menu Close
Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第6章 ユーザーの制限
Red Hat Enterprise Linux では、デフォルトで SELinux
たとえば、SELinux
unconfined_u ユーザーにマッピングされます。unconfined_u が実行するすべてのプロセスは unconfined_t ドメインにあります。これは、標準の Linux DAC ポリシーの制限内のシステム全体でアクセスできることを意味します。ただし、Red Hat Enterprise Linux では、多くの制限のある SELinux ユーザーを利用できます。つまり、ユーザーは制限された機能のセットに制限できることを意味します。各 Linux ユーザーは SELinux ポリシーを使用して SELinux ユーザーにマッピングされ、Linux ユーザーは(ユーザーにより異なる)SELinux ユーザーに設定された制限を継承でき、以下を行うことができません。
- X Window System の実行
- ネットワークの使用
- setuid アプリケーションの実行(SELinux ポリシーが許可しない限り)
- または、su および sudo コマンドを実行します。
user_u ユーザーが実行するプロセスは user_t ドメインにあります。このようなプロセスはネットワークに接続できますが、su コマンドまたは sudo コマンドを実行できません。これは、システムをユーザーから保護するのに役立ちます。制限のあるユーザーとその機能の詳細は、「制限のあるユーザーおよび制限のないユーザー」、表3.1「SELinux ユーザー機能」 を参照してください。
6.1. Linux および SELinux ユーザーマッピング
root で以下のコマンドを実行して、Linux ユーザーおよび SELinux ユーザー間のマッピングを表示します。
~]# semanage login -l
Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
Red Hat Enterprise Linux では、Linux ユーザーは、デフォルトで SELinux
__default__ login にマッピングされます(SELinux unconfined_u ユーザーにマッピングされます)。Linux ユーザーが useradd コマンドで作成されると、オプションが指定されていない場合には、SELinux unconfined_u ユーザーにマッピングされます。以下は、default-mapping を定義します。
__default__ unconfined_u s0-s0:c0.c1023 *