第7章 Sandbox を使用したプログラムのセキュリティー保護

sandbox セキュリティーユーティリティーは、システム管理者がしっかりと制限された SELinux ドメイン内でアプリケーションを実行できるように SELinux ポリシーのセットを追加します。新しいファイルを開く権限やネットワークへのアクセスの制限を定義できます。これにより、システムを危険にさらすことなく、信頼できないソフトウェアの処理特性を安全にテストできるようになります。

7.1. Sandbox を使用したアプリケーションの実行

sandbox ユーティリティーを使用する前に、policycoreutils-sandbox パッケージがインストールされている必要があります。
~]# yum install policycoreutils-sandbox
アプリケーションを制限するための基本的な構文は次のとおりです。
~]$ sandbox [options] application_under_test
sandbox を使用してグラフィカルアプリケーションを実行するには、-X オプションを使用します。以下に例を示します。
~]$ sandbox -X evince
必要なリソースをコピーして、ユーザーの home ディレクトリーまたは /tmp ディレクトリーに閉じられた仮想感想を作成する前に、アプリケーション (この場合は evince) に、制限されたセカンダリーの X サーバーを設定します。
あるセッションから次のセクションにデータを保存するには、以下を行います。
~]$ sandbox -H sandbox/home -T sandbox/tmp -X firefox
sandbox/home/home に使用され、sandbox/tmp/tmp に使用されます。さまざまなアプリケーションが、さまざまな制限された環境に置かれています。アプリケーションはフルスクリーンモードで実行し、その他の機能へのアクセスを防ぐことができます。前述したように、sandbox_x_file_t としてラベルしたものを除き、ファイルを開いたり作成したりすることはできません。
ネットワークへのアクセスは、最初は sandbox 内でも不可能です。アクセスを許可するには、sandbox_web_t ラベルを使用します。たとえば、Firefox を起動するには、以下のコマンドを実行します。
~]$ sandbox ‑X ‑t sandbox_web_t firefox

警告

sandbox_net_t ラベルは、すべてのネットワークポートへの、無制限で、双方向のネットワークアクセスを許可します。sandbox_web_t は、Web ブラウジングのために必要なポートへの接続を可能にします。
sandbox_net_t の使用は慎重に行い、必要なときにのみ使用してください。
詳細は、man ページの sandbox (8)、および利用可能なオプションの完全なリストを参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。