Red Hat Training

A Red Hat training course is available for RHEL 8

6.2. MLSにおけるSELinuxの役割

SELinux ポリシーは、各 Linux ユーザーを SELinux ユーザーにマッピングします。これにより、Linux ユーザーは SELinux ユーザーの制限を継承できます。

重要

MLS ポリシーには、制限なしのユーザー、タイプおよびロールなど、Unconfined モジュールは含まれません。そのため、root など制限のないユーザーは、すべてのオブジェクトにアクセスして、ターゲットポリシーで実行可能なアクションをすべて実行できるわけではありません。

SELinux ポリシーでは、ポリシー内のブーリアンを調整することで、特定のニーズに応じて限定されたユーザーの権限をカスタマイズできます。semanage boolean -l コマンドを使用すると、このブール値の現在の状態を確認できます。

表6.1 MLS での SELinux ユーザーのロール

ユーザーデフォルトロール追加のロール

guest_u

guest_r

 

xguest_u

xguest_r

 

user_u

user_r

 

staff_u

staff_r

auditadm_r

secadm_r

sysadm_r

staff_r

sysadm_u

sysadm_r

 

root

staff_r

auditadm_r

secadm_r

sysadm_r

system_r

system_u

system_r

 

なお、system_uはシステムプロセスやオブジェクトのための特別なユーザーIDであり、system_rは関連するロールです。管理者は、このsystem_uユーザーとsystem_rロールを絶対にLinuxユーザーに関連付けてはいけません。また、unconfined_u および root は制限のないユーザーです。これらの理由から、これらのSELinuxユーザーに関連するロールは、次の表の「SELinuxロールの種類とアクセス」には含まれていません。

各 SELinux ロールは SELinux のタイプに対応しており、特定のアクセス権限を提供します。

表6.2 MLS での SELinux ロールのタイプおよびアクセス

ロールタイプX Window Systemでのログインsu および sudoホームディレクトリーおよび /tmp (デフォルト) での実行ネットワーク

guest_r

guest_t

いいえ

いいえ

はい

いいえ

xguest_r

xguest_t

はい

いいえ

はい

Web ブラウザーのみ (Firefox、GNOME Web)

user_r

user_t

はい

いいえ

はい

はい

staff_r

staff_t

はい

sudo のみ

はい

はい

auditadm_r

auditadm_t

 

はい

はい

はい

secadm_r

secadm_t

 

はい

はい

はい

sysadm_r

sysadm_t

xdm_sysadm_loginブールがオンの場合のみ

はい

はい

はい

  • デフォルトでは、sysadm_rロールはsecadm_rロールの権利を持っています。つまり、sysadm_rロールを持つユーザーは、すべてのセキュリティレベルにアクセスできるということです。これがユースケースに該当しない場合は、ポリシーでsysadm_secadmモジュールを無効にすることで、2つの役割を分離することができます。
  • ログインしないロールdbadm_rlogadm_rwebadm_rは、管理タスクのサブセットに使用できます。デフォルトでは、これらのロールは SELinux ユーザーに関連付けられていません。