SELinux ユーザーおよび管理者のガイド
I. SELinux
Expand section "I. SELinux" Collapse section "I. SELinux"
1. 1. はじめに
  Expand section "1. はじめに" Collapse section "1. はじめに"
2. 2. SELinux コンテキスト
  Expand section "2. SELinux コンテキスト" Collapse section "2. SELinux コンテキスト"
3. 3. Targeted ポリシー
  Expand section "3. Targeted ポリシー" Collapse section "3. Targeted ポリシー"
  1. 3.1. 制限のあるプロセス
  2. 3.2. 制限のないプロセス
  3. 3.3. 制限のあるユーザーおよび制限のないユーザー
    
    Expand section "3.3. 制限のあるユーザーおよび制限のないユーザー" Collapse section "3.3. 制限のあるユーザーおよび制限のないユーザー"
    
    3.3.1. sudo 移行および SELinux ロール
4. 4. SELinux の使用
  Expand section "4. SELinux の使用" Collapse section "4. SELinux の使用"
  1. 4.1. SELinux パッケージ
  2. 4.2. どのログファイルが使用されるか
  3. 4.3. 主要設定ファイル
  4. 4.4. SELinux のステータスおよびモードの永続的変更
    
    Expand section "4.4. SELinux のステータスおよびモードの永続的変更" Collapse section "4.4. SELinux のステータスおよびモードの永続的変更"
    
    4.4.1. SELinux の有効化
    
    Expand section "4.4.1. SELinux の有効化" Collapse section "4.4.1. SELinux の有効化"
    
    4.4.1.1. Permissive モードに設定する場合:
    
    4.4.1.2. Enforcing モードに設定する場合:
    
    4.4.2. SELinux の無効化
  5. 4.5. システムの起動時での SELinux モードの変更
  6. 4.6. ブール値
    
    Expand section "4.6. ブール値" Collapse section "4.6. ブール値"
    
    4.6.1. ブール値の一覧表示
    
    4.6.2. ブール値の設定
    
    4.6.3. シェル自動完了
  7. 4.7. SELinux コンテキスト - ファイルのラベル付け
    
    Expand section "4.7. SELinux コンテキスト - ファイルのラベル付け" Collapse section "4.7. SELinux コンテキスト - ファイルのラベル付け"
    
    4.7.1. 一時的な変更: chcon
    
    4.7.2. 永続的な変更 - semanage fcontext
    
    4.7.3. ファイルコンテキストの決定方法
  8. 4.8. file_t タイプおよび default_t タイプ
  9. 4.9. ファイルシステムのマウント
    
    Expand section "4.9. ファイルシステムのマウント" Collapse section "4.9. ファイルシステムのマウント"
    
    4.9.1. コンテキストマウント
    
    4.9.2. デフォルトコンテキストの変更
    
    4.9.3. NFS ボリュームのマウント
    
    4.9.4. 複数の NFS マウント
    
    4.9.5. コンテキストマウントの永続化
  10. 4.10. SELinux ラベルの維持
    
    Expand section "4.10. SELinux ラベルの維持" Collapse section "4.10. SELinux ラベルの維持"
    
    4.10.1. ファイルおよびディレクトリーのコピー
    
    4.10.2. ファイルとディレクトリーの移動
    
    4.10.3. デフォルトの SELinux コンテキストの確認
    
    4.10.4. tarによるファイルのアーカイブ
    
    4.10.5. starを使用したファイルのアーカイブ
  11. 4.11. 情報収集ツール
  12. 4.12. SELinux ポリシーモジュールの優先付けと無効化
  13. 4.13. Multi-Level Security (MLS)
    
    Expand section "4.13. Multi-Level Security (MLS)" Collapse section "4.13. Multi-Level Security (MLS)"
    
    4.13.1. MLS およびシステム権限
    
    4.13.2. SELinux での MLS の有効化
    
    4.13.3. 特定の MLS 範囲を持つユーザーの作成
    
    4.13.4. Polyinstantiated ディレクトリーの設定
  14. 4.14. ファイル名の推移
  15. 4.15. ptrace() の無効化
  16. 4.16. サムネイルの保護
5. 5. sepolicy スイート
  Expand section "5. sepolicy スイート" Collapse section "5. sepolicy スイート"
6. 6. ユーザーの制限
  Expand section "6. ユーザーの制限" Collapse section "6. ユーザーの制限"
7. 7. Sandbox を使用したプログラムの保護
  Expand section "7. Sandbox を使用したプログラムの保護" Collapse section "7. Sandbox を使用したプログラムの保護"
  1. 7.1. サンドボックスを使用したアプリケーションの実行
8. 8. sVirt
  Expand section "8. sVirt" Collapse section "8. sVirt"
  1. 8.1. セキュリティーおよび仮想化
  2. 8.2. sVirt のラベル付け
9. 9. セキュアな Linux コンテナー
10. 10. SELinux systemd のアクセス制御
  Expand section "10. SELinux systemd のアクセス制御" Collapse section "10. SELinux systemd のアクセス制御"
  1. 10.1. サービスへの SELinux のアクセス権限
  2. 10.2. SELinux と journald
11. 11. トラブルシューティング
  Expand section "11. トラブルシューティング" Collapse section "11. トラブルシューティング"
  1. 11.1. アクセスが拒否された場合の動作
  2. 11.2. 問題の上位 3 つの原因
    
    Expand section "11.2. 問題の上位 3 つの原因" Collapse section "11.2. 問題の上位 3 つの原因"
    
    11.2.1. ラベル付けの問題
    
    Expand section "11.2.1. ラベル付けの問題" Collapse section "11.2.1. ラベル付けの問題"
    
    11.2.1.1. 正しいコンテキストとは?
    
    11.2.2. 制限のあるサービスの実行方法
    
    11.2.3. ルールの進化とアプリケーションの破損
  3. 11.3. 問題の修正
    
    Expand section "11.3. 問題の修正" Collapse section "11.3. 問題の修正"
    
    11.3.1. Linux の権限
    
    11.3.2. サイレント拒否の考えられる原因
    
    11.3.3. サービスの man ページ
    
    11.3.4. Permissive ドメイン
    
    Expand section "11.3.4. Permissive ドメイン" Collapse section "11.3.4. Permissive ドメイン"
    
    11.3.4.1. ドメインを Permissive にする
    
    11.3.4.2. Permissive ドメインの無効化
    
    11.3.4.3. Permissive ドメインの拒否
    
    11.3.5. 拒否の検索と表示
    
    11.3.6. Raw 監査メッセージ
    
    11.3.7. sealert メッセージ
    
    11.3.8. アクセスの許可: audit2allow
12. 12. 追加情報
  Expand section "12. 追加情報" Collapse section "12. 追加情報"
  1. 12.1. コントリビューター
  2. 12.2. その他リソース
II. 制限のあるサービスの管理
Expand section "II. 制限のあるサービスの管理" Collapse section "II. 制限のあるサービスの管理"
1. 13. Apache HTTP サーバー
  Expand section "13. Apache HTTP サーバー" Collapse section "13. Apache HTTP サーバー"
  1. 13.1. Apache HTTP サーバーおよび SELinux
  2. 13.2. タイプ
  3. 13.3. ブール値
  4. 13.4. 設定例
    
    Expand section "13.4. 設定例" Collapse section "13.4. 設定例"
    
    13.4.1. 静的サイトの実行
    
    13.4.2. NFS および CIFS ボリュームの共有
    
    13.4.3. サービス間でのファイルの共有
    
    13.4.4. ポート番号の変更
2. 14. Samba
  Expand section "14. Samba" Collapse section "14. Samba"
  1. 14.1. Samba と SELinux
  2. 14.2. タイプ
  3. 14.3. ブール値
  4. 14.4. 設定例
    
    Expand section "14.4. 設定例" Collapse section "14.4. 設定例"
    
    14.4.1. 作成したディレクトリーの共有
    
    14.4.2. Web サイトの共有
3. 15. ファイル転送プロトコル
  Expand section "15. ファイル転送プロトコル" Collapse section "15. ファイル転送プロトコル"
  1. 15.1. タイプ
  2. 15.2. ブール値
4. 16. ネットワークファイルシステム
  Expand section "16. ネットワークファイルシステム" Collapse section "16. ネットワークファイルシステム"
  1. 16.1. NFS と SELinux
  2. 16.2. タイプ
  3. 16.3. ブール値
  4. 16.4. 設定の例
    
    Expand section "16.4. 設定の例" Collapse section "16.4. 設定の例"
    
    16.4.1. SELinux ラベル付き NFS のサポートの有効化
5. 17. BIND (Berkeley Internet Name Domain)
  Expand section "17. BIND (Berkeley Internet Name Domain)" Collapse section "17. BIND (Berkeley Internet Name Domain)"
  1. 17.1. BIND および SELinux
  2. 17.2. タイプ
  3. 17.3. ブール値
  4. 17.4. 設定の例
    
    Expand section "17.4. 設定の例" Collapse section "17.4. 設定の例"
    
    17.4.1. 動的 DNS
6. 18. 同時バージョン管理システム
  Expand section "18. 同時バージョン管理システム" Collapse section "18. 同時バージョン管理システム"
  1. 18.1. CVS と SELinux
  2. 18.2. タイプ
  3. 18.3. ブール値
  4. 18.4. 設定の例
    
    Expand section "18.4. 設定の例" Collapse section "18.4. 設定の例"
    
    18.4.1. CDK の設定
7. 19. Squid キャッシングプロキシー
  Expand section "19. Squid キャッシングプロキシー" Collapse section "19. Squid キャッシングプロキシー"
  1. 19.1. Squid キャッシングプロキシーおよび SELinux
  2. 19.2. タイプ
  3. 19.3. ブール値
  4. 19.4. 設定の例
    
    Expand section "19.4. 設定の例" Collapse section "19.4. 設定の例"
    
    19.4.1. 標準以外のポートへの Squid 接続
8. 20. MariaDB (MySQL の代替)
  Expand section "20. MariaDB (MySQL の代替)" Collapse section "20. MariaDB (MySQL の代替)"
  1. 20.1. MariaDB と SELinux
  2. 20.2. タイプ
  3. 20.3. ブール値
  4. 20.4. 設定の例
    
    Expand section "20.4. 設定の例" Collapse section "20.4. 設定の例"
    
    20.4.1. MariaDB によるデータベースの場所の変更
9. 21. PostgreSQL
  Expand section "21. PostgreSQL" Collapse section "21. PostgreSQL"
  1. 21.1. PostgreSQL および SELinux
  2. 21.2. タイプ
  3. 21.3. ブール値
  4. 21.4. 設定の例
    
    Expand section "21.4. 設定の例" Collapse section "21.4. 設定の例"
    
    21.4.1. PostgreSQL データベースの場所の変更
10. 22. rsync
  Expand section "22. rsync" Collapse section "22. rsync"
  1. 22.1. rsync およびSELinux
  2. 22.2. タイプ
  3. 22.3. ブール値
  4. 22.4. 設定の例
    
    Expand section "22.4. 設定の例" Collapse section "22.4. 設定の例"
    
    22.4.1. デーモンとしての Rsync
11. 23. postfix
  Expand section "23. postfix" Collapse section "23. postfix"
  1. 23.1. Postfix および SELinux
  2. 23.2. タイプ
  3. 23.3. ブール値
  4. 23.4. 設定の例
    
    Expand section "23.4. 設定の例" Collapse section "23.4. 設定の例"
    
    23.4.1. SpamAssassin および Postfix
12. 24. DHCP
  Expand section "24. DHCP" Collapse section "24. DHCP"
  1. 24.1. DHCP および SELinux
  2. 24.2. タイプ
13. 25. OpenShift by Red Hat
  Expand section "25. OpenShift by Red Hat" Collapse section "25. OpenShift by Red Hat"
  1. 25.1. OpenShift および SELinux
  2. 25.2. タイプ
  3. 25.3. ブール値
  4. 25.4. 設定の例
    
    Expand section "25.4. 設定の例" Collapse section "25.4. 設定の例"
    
    25.4.1. デフォルトの OpenShift ディレクトリーの変更
14. 26. ID 管理
  Expand section "26. ID 管理" Collapse section "26. ID 管理"
  1. 26.1. ID 管理と SELinux
    
    Expand section "26.1. ID 管理と SELinux" Collapse section "26.1. ID 管理と SELinux"
    
    26.1.1. Active Directory ドメインへの信頼
  2. 26.2. 設定の例
    
    Expand section "26.2. 設定の例" Collapse section "26.2. 設定の例"
    
    26.2.1. IdM ユーザーへの SELinux ユーザーのマッピング
15. 27. Red Hat Gluster Storage
  Expand section "27. Red Hat Gluster Storage" Collapse section "27. Red Hat Gluster Storage"
  1. 27.1. Red Hat Gluster Storage および SELinux
  2. 27.2. タイプ
  3. 27.3. ブール値
  4. 27.4. 設定の例
    
    Expand section "27.4. 設定の例" Collapse section "27.4. 設定の例"
    
    27.4.1. Gluster ブリックのラベル付け
16. 28. 参考資料
A. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

3.2. 制限のないプロセス

制限のないプロセスは、制限のないドメインで実行されます。たとえば、init によって実行される制限のないサービスは unconfined_service_t ドメインで実行され、カーネルによって実行される制限のないサービスは kernel_t ドメインで実行され、制限のないLinuxユーザーによって実行される制限のないサービスは、unconfined_t ドメインで実行されます。制限のないプロセスの場合、SELinux ポリシールールが適用されますが、制限のないドメインで実行しているプロセスを許可するポリシールールが存在します。制限のないドメインで実行されているプロセスは、DAC ルールだけを使用するようにフォールバックされます。制限のないプロセスが侵害された場合、SELinuxは攻撃者がシステムリソースやデータにアクセスすることを防ぎませんが、もちろん、DACルールは引き続き使用されます。SELinuxは、DACルールに加えたセキュリティー強化です。DACルールを置き換えるものではありません。

SELinux が有効になり、システムが以下のサンプルを実行する準備が整っていることを確認するには、「制限のあるプロセス」で説明されている手順3.1「SELinux の状態を確認する方法」を実行します。

以下の例は、制限のない実行時に Apache HTTP Server(httpd)が Samba が使用するデータにアクセスする方法を示しています。Red Hat Enterprise Linux では、httpd プロセスはデフォルトで制限のある httpd_t ドメインで実行されます。これはサンプルであり、本番環境では使用しないでください。httpd、wget、dbus、および audit パッケージがインストールされ、SELinux Targeted ポリシーが使用され、SELinux が Enforcing モードで実行されていることを前提としています。

手順3.3 制限のないプロセスの例

chcon コマンドによってファイルが再ラベル付けされます。ただし、このようなラベルの変更は、ファイルシステムの再ラベル付け時に維持されません。ファイルシステムの再ラベル付け後も存続する永続的な変更については、semanage ユーティリティーを使用します。これについては後述します。root ユーザーとして以下のコマンドを実行し、タイプを Samba が使用するタイプに変更します。
```
~]# chcon -t samba_share_t /var/www/html/testfile
```
変更を表示します。
```
~]$ ls -Z /var/www/html/testfile
-rw-r--r--  root root unconfined_u:object_r:samba_share_t:s0 /var/www/html/testfile
```
以下のコマンドを実行して、httpd プロセスが実行されていないことを確認します。
```
~]$ systemctl status httpd.service
httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
   Active: inactive (dead)
```
出力が異なる場合は、root で以下のコマンドを実行して、httpd プロセスを停止します。
```
~]# systemctl stop httpd.service
```
httpd プロセスが制限なしで実行されるようにするには、root で以下のコマンドを実行して、/usr/sbin/httpd ファイルのタイプを、制限のあるドメインに移行しないタイプに変更します。
```
~]# chcon -t bin_t /usr/sbin/httpd
```

/usr/sbin/httpd に bin_t タイプのラベルが付けられていることを確認します。

~]$ ls -Z /usr/sbin/httpd
-rwxr-xr-x. root root system_u:object_r:bin_t:s0       /usr/sbin/httpd

root で、httpd プロセスを開始して、正常に起動したことを確認します。

~]# systemctl start httpd.service

~]# systemctl status httpd.service
httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
   Active: active (running) since Thu 2013-08-15 11:17:01 CEST; 5s ago

以下のコマンドを入力して、unconfined_service_t ドメインで実行している httpd を表示します。

~]$ ps -eZ | grep httpd
system_u:system_r:unconfined_service_t:s0 11884 ? 00:00:00 httpd
system_u:system_r:unconfined_service_t:s0 11885 ? 00:00:00 httpd
system_u:system_r:unconfined_service_t:s0 11886 ? 00:00:00 httpd
system_u:system_r:unconfined_service_t:s0 11887 ? 00:00:00 httpd
system_u:system_r:unconfined_service_t:s0 11888 ? 00:00:00 httpd
system_u:system_r:unconfined_service_t:s0 11889 ? 00:00:00 httpd

Linux ユーザーが書き込み権限を持つディレクトリーに移動し、以下のコマンドを入力します。デフォルト設定が変更されない限り、このコマンドは成功します。
```
~]$ wget http://localhost/testfile
--2009-05-07 01:41:10--  http://localhost/testfile
Resolving localhost... 127.0.0.1
Connecting to localhost|127.0.0.1|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 0 [text/plain]
Saving to: `testfile'

[ <=>                            ]--.-K/s   in 0s

2009-05-07 01:41:10 (0.00 B/s) - `testfile' saved [0/0]
```
httpd プロセスは samba_share_t タイプのラベル付けされたファイルにアクセスできませんが、httpd は制限のない unconfined_service_t ドメインで実行され、DAC ルールの使用にフォールバックします。したがって、wget コマンドは成功します。httpd が制限のある httpd_t ドメインで実行されていた場合、wget コマンドは失敗していました。
restorecon ユーティリティーは、ファイルのデフォルトの SELinux コンテキストを復元します。root で次のコマンドを実行して、/usr/sbin/httpd のデフォルトの SELinux コンテキストを復元します。
```
~]# restorecon -v /usr/sbin/httpd
restorecon reset /usr/sbin/httpd context system_u:object_r:unconfined_exec_t:s0->system_u:object_r:httpd_exec_t:s0
```
/usr/sbin/httpd に httpd_exec_t タイプのラベルが付けられていることを確認します。
```
~]$ ls -Z /usr/sbin/httpd
-rwxr-xr-x  root root system_u:object_r:httpd_exec_t:s0 /usr/sbin/httpd
```

root で次のコマンドを実行して httpd を再起動します。再起動したら、制限のある httpd_t ドメインで httpd が実行されていることを確認します。

~]# systemctl restart httpd.service

~]$ ps -eZ | grep httpd
system_u:system_r:httpd_t:s0    8883 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    8884 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    8885 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    8886 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    8887 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    8888 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    8889 ?        00:00:00 httpd

root で testfile を削除します。

~]# rm -i /var/www/html/testfile
rm: remove regular empty file `/var/www/html/testfile'? y

httpd を実行する必要がない場合は、root で以下のコマンドを実行して httpd を停止します。
```
~]# systemctl stop httpd.service
```

これらのセクションの例では、セキュリティー侵害を受けた制限のあるプロセス（SELinux で保護）からデータを保護する方法、およびセキュリティー侵害を受けた制限のないプロセス（SELinux によって保護されていない）のデータがいかに攻撃者にとってアクセスしやすいかについて示します。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

3.2. 制限のないプロセス