第6章 ユーザーの制限

Red Hat Enterprise Linux では、ユーザーは、デフォルトで SELinux の unconfined_u ユーザーにマッピングされます。unconfined_u が実行するすべてのプロセスは、unconfined_t ドメインにあります。これは、標準の Linux DAC ポリシーの制限内で、システム全体にユーザーがアクセスできることを示しています。しかし、制限された SELinux ユーザーの数は、Red Hat Enterprise Linux では利用できます。これにより、ユーザーは機能の限られたセットに制限できることを意味します。各 Linux ユーザーには、SELinux ポリシーを使用して SELinux ユーザーにマッピングされます。これにより、Linux ユーザーは、SELinux ユーザーに配置した制限を継承でき、たとえば (ユーザーにより異なります)、以下のことができません。
  • X Window System を実行します。
  • ネットワークの使用
  • (SELinux ポリシーが許可しない限り) setuid アプリケーションを実行します。
  • su コマンドおよび sudo コマンドを実行します。
たとえば、SELinux user_u ユーザーが実行したプロセスは、user_t ドメインにはありません。プロセスはネットワーク接続できず、su コマンドまたは sudo コマンドを実行することはできません。このようにして、ユーザーからシステムを保護します。制限ユーザーおよびその機能の詳細は、「制限のあるユーザーおよび制限のないユーザー」表3.1「SELinux ユーザーの権限」 を参照してください。

6.1. Linux および SELinux ユーザーのマッピング

root ユーザーで以下のコマンドを実行し、SELinux ユーザーと Linux ユーザーとのマッピングを表示します。
~]# semanage login -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
system_u             system_u             s0-s0:c0.c1023       *
Red Hat Enterprise Linux では、Linux ユーザーはデフォルトで SELinux __default__ ログインにマッピングされ、これはさらに SELinux unconfined_u ユーザーにマッピングされます。useradd コマンドで Linux ユーザーが作成され、オプションが特定されないと、このユーザーは SELinux unconfined_u にマッピングされます。以下でデフォルトのマッピングを定義します。
__default__          unconfined_u         s0-s0:c0.c1023       *

このページには機械翻訳が使用されている場合があります (詳細はこちら)。