Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第6章ユーザーの制限

Red Hat Enterprise Linux では、ユーザーはデフォルトで SELinux unconfined_u ユーザーにマッピングされています。unconfined_u が実行するプロセスはすべて、unconfined_t ドメイン内にあります。つまり、ユーザーは、標準の Linux DAC ポリシーの制限内で、システム全体にアクセスできます。ただし、Red Hat Enterprise Linux では、限られた SELinux ユーザーの多くが利用できます。つまり、ユーザーは限られた機能セットに限定できます。各 Linux ユーザーは、SELinux ポリシーを使用して SELinux ユーザーにマッピングされます。これにより、Linux ユーザーは、(ユーザーによっては) SELinux ユーザーに設定された制限を継承できなくなります。

X Window System を実行する
ネットワークを使用する
setuid アプリケーションを実行します (SELinux ポリシーで許可されていない場合)。
または、su コマンドおよび sudo コマンドを実行します。

たとえば、SELinux user_u ユーザーが実行しているプロセスは、user_t ドメイン内にあります。このようなプロセスはネットワークに接続できますが、su コマンドまたは sudo コマンドは実行できません。これにより、ユーザーからシステムを保護できます。制限のあるユーザーとその能力の詳細は、「制限のあるユーザーおよび制限のないユーザー」、表3.1「SELinux ユーザー機能」を参照してください。

6.1. Linux および SELinux のユーザーマッピング

root で、以下のコマンドを実行して、Linux ユーザーと SELinux ユーザーのマッピングを表示します。

~]# semanage login -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
system_u             system_u             s0-s0:c0.c1023       *

Red Hat Enterprise Linux では、Linux ユーザーはデフォルトで SELinux の __default__ ログインにマッピングされ、続いて、これは SELinux unconfined_u ユーザーにマッピングされます。useradd コマンドで Linux ユーザーを作成し、オプションを指定しないと、SELinux unconfined_u ユーザーにマッピングされます。以下は、default-mapping を定義します。

__default__          unconfined_u         s0-s0:c0.c1023       *

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

第6章ユーザーの制限

6.1. Linux および SELinux のユーザーマッピング

Language and Page Formatting Options

Red Hat Training

第6章 ユーザーの制限

6.1. Linux および SELinux のユーザーマッピング

第6章ユーザーの制限