Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第6章 ユーザーの制限

Red Hat Enterprise Linux では、デフォルトで SELinux unconfined_u ユーザーにマッピングされます。unconfined_u が実行するすべてのプロセスは unconfined_t ドメインにあります。これは、標準の Linux DAC ポリシーの制限内のシステム全体でアクセスできることを意味します。ただし、Red Hat Enterprise Linux では、多くの制限のある SELinux ユーザーを利用できます。つまり、ユーザーは制限された機能のセットに制限できることを意味します。各 Linux ユーザーは SELinux ポリシーを使用して SELinux ユーザーにマッピングされ、Linux ユーザーは(ユーザーにより異なる)SELinux ユーザーに設定された制限を継承でき、以下を行うことができません。
  • X Window System の実行
  • ネットワークの使用
  • setuid アプリケーションの実行(SELinux ポリシーが許可しない限り)
  • または、su および sudo コマンドを実行します。
たとえば、SELinux user_u ユーザーが実行するプロセスは user_t ドメインにあります。このようなプロセスはネットワークに接続できますが、su コマンドまたは sudo コマンドを実行できません。これは、システムをユーザーから保護するのに役立ちます。制限のあるユーザーとその機能の詳細は、「制限のあるユーザーおよび制限のないユーザー」表3.1「SELinux ユーザー機能」 を参照してください。

6.1. Linux および SELinux ユーザーマッピング

root で以下のコマンドを実行して、Linux ユーザーおよび SELinux ユーザー間のマッピングを表示します。
~]# semanage login -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
system_u             system_u             s0-s0:c0.c1023       *
Red Hat Enterprise Linux では、Linux ユーザーは、デフォルトで SELinux __default__ login にマッピングされます(SELinux unconfined_u ユーザーにマッピングされます)。Linux ユーザーが useradd コマンドで作成されると、オプションが指定されていない場合には、SELinux unconfined_u ユーザーにマッピングされます。以下は、default-mapping を定義します。
__default__          unconfined_u         s0-s0:c0.c1023       *