SELinux ユーザーおよび管理者のガイド
I. SELinux
Expand section "I. SELinux" Collapse section "I. SELinux"
1. 1. はじめに
  Expand section "1. はじめに" Collapse section "1. はじめに"
2. 2. SELinux コンテキスト
  Expand section "2. SELinux コンテキスト" Collapse section "2. SELinux コンテキスト"
3. 3. Targeted ポリシー
  Expand section "3. Targeted ポリシー" Collapse section "3. Targeted ポリシー"
  1. 3.1. 制限のあるプロセス
  2. 3.2. 制限のないプロセス
  3. 3.3. 制限のあるユーザーおよび制限のないユーザー
    
    Expand section "3.3. 制限のあるユーザーおよび制限のないユーザー" Collapse section "3.3. 制限のあるユーザーおよび制限のないユーザー"
    
    3.3.1. sudo 移行および SELinux ロール
4. 4. SELinux の使用
  Expand section "4. SELinux の使用" Collapse section "4. SELinux の使用"
  1. 4.1. SELinux パッケージ
  2. 4.2. どのログファイルが使用されるか
  3. 4.3. 主要設定ファイル
  4. 4.4. SELinux のステータスおよびモードの永続的変更
    
    Expand section "4.4. SELinux のステータスおよびモードの永続的変更" Collapse section "4.4. SELinux のステータスおよびモードの永続的変更"
    
    4.4.1. SELinux の有効化
    
    Expand section "4.4.1. SELinux の有効化" Collapse section "4.4.1. SELinux の有効化"
    
    4.4.1.1. Permissive モードに設定する場合:
    
    4.4.1.2. Enforcing モードに設定する場合:
    
    4.4.2. SELinux の無効化
  5. 4.5. システムの起動時での SELinux モードの変更
  6. 4.6. ブール値
    
    Expand section "4.6. ブール値" Collapse section "4.6. ブール値"
    
    4.6.1. ブール値の一覧表示
    
    4.6.2. ブール値の設定
    
    4.6.3. シェル自動完了
  7. 4.7. SELinux コンテキスト - ファイルのラベル付け
    
    Expand section "4.7. SELinux コンテキスト - ファイルのラベル付け" Collapse section "4.7. SELinux コンテキスト - ファイルのラベル付け"
    
    4.7.1. 一時的な変更: chcon
    
    4.7.2. 永続的な変更 - semanage fcontext
    
    4.7.3. ファイルコンテキストの決定方法
  8. 4.8. file_t タイプおよび default_t タイプ
  9. 4.9. ファイルシステムのマウント
    
    Expand section "4.9. ファイルシステムのマウント" Collapse section "4.9. ファイルシステムのマウント"
    
    4.9.1. コンテキストマウント
    
    4.9.2. デフォルトコンテキストの変更
    
    4.9.3. NFS ボリュームのマウント
    
    4.9.4. 複数の NFS マウント
    
    4.9.5. コンテキストマウントの永続化
  10. 4.10. SELinux ラベルの維持
    
    Expand section "4.10. SELinux ラベルの維持" Collapse section "4.10. SELinux ラベルの維持"
    
    4.10.1. ファイルおよびディレクトリーのコピー
    
    4.10.2. ファイルとディレクトリーの移動
    
    4.10.3. デフォルトの SELinux コンテキストの確認
    
    4.10.4. tarによるファイルのアーカイブ
    
    4.10.5. starを使用したファイルのアーカイブ
  11. 4.11. 情報収集ツール
  12. 4.12. SELinux ポリシーモジュールの優先付けと無効化
  13. 4.13. Multi-Level Security (MLS)
    
    Expand section "4.13. Multi-Level Security (MLS)" Collapse section "4.13. Multi-Level Security (MLS)"
    
    4.13.1. MLS およびシステム権限
    
    4.13.2. SELinux での MLS の有効化
    
    4.13.3. 特定の MLS 範囲を持つユーザーの作成
    
    4.13.4. Polyinstantiated ディレクトリーの設定
  14. 4.14. ファイル名の推移
  15. 4.15. ptrace() の無効化
  16. 4.16. サムネイルの保護
5. 5. sepolicy スイート
  Expand section "5. sepolicy スイート" Collapse section "5. sepolicy スイート"
6. 6. ユーザーの制限
  Expand section "6. ユーザーの制限" Collapse section "6. ユーザーの制限"
7. 7. Sandbox を使用したプログラムの保護
  Expand section "7. Sandbox を使用したプログラムの保護" Collapse section "7. Sandbox を使用したプログラムの保護"
  1. 7.1. サンドボックスを使用したアプリケーションの実行
8. 8. sVirt
  Expand section "8. sVirt" Collapse section "8. sVirt"
  1. 8.1. セキュリティーおよび仮想化
  2. 8.2. sVirt のラベル付け
9. 9. セキュアな Linux コンテナー
10. 10. SELinux systemd のアクセス制御
  Expand section "10. SELinux systemd のアクセス制御" Collapse section "10. SELinux systemd のアクセス制御"
  1. 10.1. サービスへの SELinux のアクセス権限
  2. 10.2. SELinux と journald
11. 11. トラブルシューティング
  Expand section "11. トラブルシューティング" Collapse section "11. トラブルシューティング"
  1. 11.1. アクセスが拒否された場合の動作
  2. 11.2. 問題の上位 3 つの原因
    
    Expand section "11.2. 問題の上位 3 つの原因" Collapse section "11.2. 問題の上位 3 つの原因"
    
    11.2.1. ラベル付けの問題
    
    Expand section "11.2.1. ラベル付けの問題" Collapse section "11.2.1. ラベル付けの問題"
    
    11.2.1.1. 正しいコンテキストとは?
    
    11.2.2. 制限のあるサービスの実行方法
    
    11.2.3. ルールの進化とアプリケーションの破損
  3. 11.3. 問題の修正
    
    Expand section "11.3. 問題の修正" Collapse section "11.3. 問題の修正"
    
    11.3.1. Linux の権限
    
    11.3.2. サイレント拒否の考えられる原因
    
    11.3.3. サービスの man ページ
    
    11.3.4. Permissive ドメイン
    
    Expand section "11.3.4. Permissive ドメイン" Collapse section "11.3.4. Permissive ドメイン"
    
    11.3.4.1. ドメインを Permissive にする
    
    11.3.4.2. Permissive ドメインの無効化
    
    11.3.4.3. Permissive ドメインの拒否
    
    11.3.5. 拒否の検索と表示
    
    11.3.6. Raw 監査メッセージ
    
    11.3.7. sealert メッセージ
    
    11.3.8. アクセスの許可: audit2allow
12. 12. 追加情報
  Expand section "12. 追加情報" Collapse section "12. 追加情報"
  1. 12.1. コントリビューター
  2. 12.2. その他リソース
II. 制限のあるサービスの管理
Expand section "II. 制限のあるサービスの管理" Collapse section "II. 制限のあるサービスの管理"
1. 13. Apache HTTP サーバー
  Expand section "13. Apache HTTP サーバー" Collapse section "13. Apache HTTP サーバー"
  1. 13.1. Apache HTTP サーバーおよび SELinux
  2. 13.2. タイプ
  3. 13.3. ブール値
  4. 13.4. 設定例
    
    Expand section "13.4. 設定例" Collapse section "13.4. 設定例"
    
    13.4.1. 静的サイトの実行
    
    13.4.2. NFS および CIFS ボリュームの共有
    
    13.4.3. サービス間でのファイルの共有
    
    13.4.4. ポート番号の変更
2. 14. Samba
  Expand section "14. Samba" Collapse section "14. Samba"
  1. 14.1. Samba と SELinux
  2. 14.2. タイプ
  3. 14.3. ブール値
  4. 14.4. 設定例
    
    Expand section "14.4. 設定例" Collapse section "14.4. 設定例"
    
    14.4.1. 作成したディレクトリーの共有
    
    14.4.2. Web サイトの共有
3. 15. ファイル転送プロトコル
  Expand section "15. ファイル転送プロトコル" Collapse section "15. ファイル転送プロトコル"
  1. 15.1. タイプ
  2. 15.2. ブール値
4. 16. ネットワークファイルシステム
  Expand section "16. ネットワークファイルシステム" Collapse section "16. ネットワークファイルシステム"
  1. 16.1. NFS と SELinux
  2. 16.2. タイプ
  3. 16.3. ブール値
  4. 16.4. 設定の例
    
    Expand section "16.4. 設定の例" Collapse section "16.4. 設定の例"
    
    16.4.1. SELinux ラベル付き NFS のサポートの有効化
5. 17. BIND (Berkeley Internet Name Domain)
  Expand section "17. BIND (Berkeley Internet Name Domain)" Collapse section "17. BIND (Berkeley Internet Name Domain)"
  1. 17.1. BIND および SELinux
  2. 17.2. タイプ
  3. 17.3. ブール値
  4. 17.4. 設定の例
    
    Expand section "17.4. 設定の例" Collapse section "17.4. 設定の例"
    
    17.4.1. 動的 DNS
6. 18. 同時バージョン管理システム
  Expand section "18. 同時バージョン管理システム" Collapse section "18. 同時バージョン管理システム"
  1. 18.1. CVS と SELinux
  2. 18.2. タイプ
  3. 18.3. ブール値
  4. 18.4. 設定の例
    
    Expand section "18.4. 設定の例" Collapse section "18.4. 設定の例"
    
    18.4.1. CDK の設定
7. 19. Squid キャッシングプロキシー
  Expand section "19. Squid キャッシングプロキシー" Collapse section "19. Squid キャッシングプロキシー"
  1. 19.1. Squid キャッシングプロキシーおよび SELinux
  2. 19.2. タイプ
  3. 19.3. ブール値
  4. 19.4. 設定の例
    
    Expand section "19.4. 設定の例" Collapse section "19.4. 設定の例"
    
    19.4.1. 標準以外のポートへの Squid 接続
8. 20. MariaDB (MySQL の代替)
  Expand section "20. MariaDB (MySQL の代替)" Collapse section "20. MariaDB (MySQL の代替)"
  1. 20.1. MariaDB と SELinux
  2. 20.2. タイプ
  3. 20.3. ブール値
  4. 20.4. 設定の例
    
    Expand section "20.4. 設定の例" Collapse section "20.4. 設定の例"
    
    20.4.1. MariaDB によるデータベースの場所の変更
9. 21. PostgreSQL
  Expand section "21. PostgreSQL" Collapse section "21. PostgreSQL"
  1. 21.1. PostgreSQL および SELinux
  2. 21.2. タイプ
  3. 21.3. ブール値
  4. 21.4. 設定の例
    
    Expand section "21.4. 設定の例" Collapse section "21.4. 設定の例"
    
    21.4.1. PostgreSQL データベースの場所の変更
10. 22. rsync
  Expand section "22. rsync" Collapse section "22. rsync"
  1. 22.1. rsync およびSELinux
  2. 22.2. タイプ
  3. 22.3. ブール値
  4. 22.4. 設定の例
    
    Expand section "22.4. 設定の例" Collapse section "22.4. 設定の例"
    
    22.4.1. デーモンとしての Rsync
11. 23. postfix
  Expand section "23. postfix" Collapse section "23. postfix"
  1. 23.1. Postfix および SELinux
  2. 23.2. タイプ
  3. 23.3. ブール値
  4. 23.4. 設定の例
    
    Expand section "23.4. 設定の例" Collapse section "23.4. 設定の例"
    
    23.4.1. SpamAssassin および Postfix
12. 24. DHCP
  Expand section "24. DHCP" Collapse section "24. DHCP"
  1. 24.1. DHCP および SELinux
  2. 24.2. タイプ
13. 25. OpenShift by Red Hat
  Expand section "25. OpenShift by Red Hat" Collapse section "25. OpenShift by Red Hat"
  1. 25.1. OpenShift および SELinux
  2. 25.2. タイプ
  3. 25.3. ブール値
  4. 25.4. 設定の例
    
    Expand section "25.4. 設定の例" Collapse section "25.4. 設定の例"
    
    25.4.1. デフォルトの OpenShift ディレクトリーの変更
14. 26. ID 管理
  Expand section "26. ID 管理" Collapse section "26. ID 管理"
  1. 26.1. ID 管理と SELinux
    
    Expand section "26.1. ID 管理と SELinux" Collapse section "26.1. ID 管理と SELinux"
    
    26.1.1. Active Directory ドメインへの信頼
  2. 26.2. 設定の例
    
    Expand section "26.2. 設定の例" Collapse section "26.2. 設定の例"
    
    26.2.1. IdM ユーザーへの SELinux ユーザーのマッピング
15. 27. Red Hat Gluster Storage
  Expand section "27. Red Hat Gluster Storage" Collapse section "27. Red Hat Gluster Storage"
  1. 27.1. Red Hat Gluster Storage および SELinux
  2. 27.2. タイプ
  3. 27.3. ブール値
  4. 27.4. 設定の例
    
    Expand section "27.4. 設定の例" Collapse section "27.4. 設定の例"
    
    27.4.1. Gluster ブリックのラベル付け
16. 28. 参考資料
A. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第10章 SELinux systemd のアクセス制御

Red Hat Enterprise Linux 7 では、システムサービスは systemd デーモンにより制御されます。Red Hat Enterprise Linux の以前のリリースでは、デーモンを起動する方法が 2 つありました。

システムの起動時に、System V init デーモンはinit.rc スクリプトを起動し、このスクリプトにより必要なデーモンを起動します。たとえば、システムの起動時に起動した Apache サーバーには、以下の SELinux ラベルが貼られています。
```
system_u:system_r:httpd_t:s0
```
管理者が手動でinit.rc スクリプトを起動すると、デーモンが実行します。たとえば、service httpd restart コマンドを Apache サーバーで実行すると、表示される SELinux ラベルは次のようになります。
```
unconfined_u:system_r:httpd_t:s0
```

手動で開始すると、このプロセスでは、開始した SELinux ラベルのユーザー部分が採用され、上記の 2 つのシナリオでのラベリングに矛盾が発生します。systemd デーモンでは、遷移が大きく異なります。systemd は、init_t タイプを使用して、システムでデーモンを開始および停止するすべての呼び出しを処理するため、デーモンを手動で再起動すると、ラベルのユーザー部分を上書きできます。その結果、上記の両方のシナリオのラベルは、期待どおりに system_u:system_r:httpd_t:s0 で、SELinux ポリシーを改善して、どのドメインがどのユニットを制御できるかを管理できます。

10.1. サービスへの SELinux のアクセス権限

以前のバージョンの Red Hat Enterprise Linux では、管理者は System V Init スクリプトのラベルに基づいて、どのユーザーまたはアプリケーションがサービスを開始または停止できるかを制御できました。現在、systemd はすべてのサービスを開始および停止し、ユーザーとプロセスは、systemctl ユーティリティを使用して systemd と通信します。systemd デーモンは、SELinux ポリシーを調べ、呼び出しているプロセスのラベルと、呼び出し元が管理しようとしているユニットファイルのラベルを確認してから、呼び出し元のアクセスを許可するかどうかを SELinux に確認します。このアプローチにより、システムサービスの開始や停止などの、重要なシステム機能へのアクセス制御が強化されます。

たとえば、管理者は、NetworkManager が systemctl を実行して D-Bus メッセージを systemd に送信できるようにする必要がありました。これにより、NetworkManager が要求するサービスが開始または停止します。実際、NetworkManager は、systemctl ができることをすべて実行できるようになっていました。また、特定のサービスのみを開始または停止できるように、限定管理者を設定することもできませんでした。

この問題を修正するために、systemd は SELinux Access Manager としても機能します。systemctl を実行しているプロセス、またはsystemd に D-Bus メッセージを送信したプロセスのラベルを取得できます。次に、デーモンは、プロセスが設定するユニットファイルのラベルを探します。最後に、SELinux ポリシーでプロセスラベルとユニットファイルラベルとの間で特定のアクセスが許可されている場合、systemd はカーネルから情報を取得できます。これは、特定のサービスに対して、systemd と相互作用を必要とする、危険にさらされたアプリケーションをSELinux が制限できることを意味します。ポリシー作成者は、このような粒度の細かい制御を使用して、管理者を制限することもできます。ポリシーの変更には、以下のパーミッションを持つ service という名前の新しいクラスが関与します。

class service
{
       start
       stop
       status
       reload
       kill
       load
       enable
       disable
}

たとえば、ポリシーの作成者は、ドメインがサービスのステータスを取得したり、サービスを開始および停止したりできるようになりましたが、サービスを有効または無効にすることはできません。SELinux および systemd でのアクセス制御操作は、すべての場合で一致するわけではありません。マッピングは、systemd メソッドの呼び出しを SELinux アクセスチェックで整列させるように定義されています。表10.2「SELinux アクセスチェックでの systemd 一般システムコールのマッピング」は、システム全般のアクセスチェックをカバーするのに対し、表10.1「SELinux アクセスチェックでの systemd ユニットファイルメソッド呼び出しのマッピング」は、ユニットファイルのアクセスチェックをマップします。いずれかのテーブルに一致するものが見つからない場合は、undefined システムチェックが呼び出されます。

表10.1 SELinux アクセスチェックでの systemd ユニットファイルメソッド呼び出しのマッピング

`systemd` ユニットファイルメソッド	SELinux アクセスチェック
DisableUnitFiles	disable
EnableUnitFiles	enable
GetUnit	status
GetUnitByPID	status
GetUnitFileState	status
Kill	stop
KillUnit	stop
LinkUnitFiles	enable
ListUnits	status
LoadUnit	status
MaskUnitFiles	disable
PresetUnitFiles	enable
ReenableUnitFiles	enable
Reexecute	start
Reload	reload
ReloadOrRestart	start
ReloadOrRestartUnit	start
ReloadOrTryRestart	start
ReloadOrTryRestartUnit	start
ReloadUnit	reload
ResetFailed	stop
ResetFailedUnit	stop
Restart	start
RestartUnit	start
Start	start
StartUnit	start
StartUnitReplace	start
停止	stop
StopUnit	stop
TryRestart	start
TryRestartUnit	start
UnmaskUnitFiles	enable

表10.2 SELinux アクセスチェックでの systemd 一般システムコールのマッピング

`systemd` 汎用システムコール	SELinux アクセスチェック
ClearJobs	reboot
FlushDevices	halt
Get	status
GetAll	status
GetJob	status
GetSeat	status
GetSession	status
GetSessionByPID	status
GetUser	status
Halt	halt
Introspect	status
KExec	reboot
KillSession	halt
KillUser	halt
ListJobs	status
ListSeats	status
ListSessions	status
ListUsers	status
LockSession	halt
PowerOff	halt
再起動	reboot
SetUserLinger	halt
TerminateSeat	halt
TerminateSession	halt
TerminateUser	halt

例10.1 システムサービスに関する SELinux ポリシー

sesearch ユーティリティーを使用すると、システムサービスのポリシールールを一覧表示できます。たとえば、sesearch -A -s NetworkManager_t -c service コマンドを呼び出すと以下が返されます。

allow NetworkManager_t dnsmasq_unit_file_t : service { start stop status reload kill load } ; 
allow NetworkManager_t nscd_unit_file_t : service { start stop status reload kill load } ; 
allow NetworkManager_t ntpd_unit_file_t : service { start stop status reload kill load } ; 
allow NetworkManager_t pppd_unit_file_t : service { start stop status reload kill load } ; 
allow NetworkManager_t polipo_unit_file_t : service { start stop status reload kill load } ;

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

第10章 SELinux systemd のアクセス制御

10.1. サービスへの SELinux のアクセス権限