Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
第6章 ユーザーの制限
Red Hat Enterprise Linux では、ユーザーは、デフォルトで SELinux の
たとえば、SELinux
unconfined_u
ユーザーにマッピングされます。unconfined_u
が実行するすべてのプロセスは、unconfined_t
ドメインにあります。これは、標準の Linux DAC ポリシーの制限内で、システム全体にユーザーがアクセスできることを示しています。しかし、制限された SELinux ユーザーの数は、Red Hat Enterprise Linux では利用できます。これにより、ユーザーは機能の限られたセットに制限できることを意味します。各 Linux ユーザーには、SELinux ポリシーを使用して SELinux ユーザーにマッピングされます。これにより、Linux ユーザーは、SELinux ユーザーに配置した制限を継承でき、たとえば (ユーザーにより異なります)、以下のことができません。
- X Window System を実行します。
- ネットワークの使用
- (SELinux ポリシーが許可しない限り) setuid アプリケーションを実行します。
su
コマンドおよびsudo
コマンドを実行します。
user_u
ユーザーが実行したプロセスは、user_t
ドメインにはありません。プロセスはネットワーク接続できず、su
コマンドまたは sudo
コマンドを実行することはできません。このようにして、ユーザーからシステムを保護します。制限ユーザーおよびその機能の詳細は、「制限のあるユーザーおよび制限のないユーザー」、表3.1「SELinux ユーザーの権限」 を参照してください。
6.1. Linux および SELinux ユーザーのマッピング
root ユーザーで以下のコマンドを実行し、SELinux ユーザーと Linux ユーザーとのマッピングを表示します。
~]#
semanage login -l
Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 *
Red Hat Enterprise Linux では、Linux ユーザーはデフォルトで SELinux
__default__
ログインにマッピングされ、これはさらに SELinux unconfined_u
ユーザーにマッピングされます。useradd
コマンドで Linux ユーザーが作成され、オプションが特定されないと、このユーザーは SELinux unconfined_u
にマッピングされます。以下でデフォルトのマッピングを定義します。
__default__ unconfined_u s0-s0:c0.c1023 *
このページには機械翻訳が使用されている場合があります (詳細はこちら)。