6.2. MLS の SELinux ロール
SELinux ポリシーは、各 Linux ユーザーを SELinux ユーザーにマッピングします。これにより、Linux ユーザーは SELinux ユーザーの制限を継承できます。
MLS ポリシーには、制限なしのユーザー、タイプおよびロールなど、Unconfined モジュールは含まれません。そのため、root など制限のないユーザーは、すべてのオブジェクトにアクセスして、ターゲットポリシーで実行可能なアクションをすべて実行できるわけではありません。
ポリシーのブール値を調整することで、SELinux ポリシーの制限ユーザーの権限を、特定のニーズに合わせてカスタマイズできます。semanage boolean -l コマンドを使用すると、このブール値の現在の状態を確認できます。すべての SELinux ユーザー、SELinux ロール、および MLS/MCS レベルおよび範囲を一覧表示するには、root で semanage user -l コマンドを使用します。
表6.1 MLS での SELinux ユーザーのロール
| ユーザー | デフォルトロール | 追加のロール |
|---|---|---|
|
|
| |
|
|
| |
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
| ||
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
| ||
|
|
|
system_u は、システムプロセスおよびオブジェクトの特別なユーザー ID であり、system_r は関連付けられたロールであることに注意してください。管理者は、この system_u ユーザーと system_r ロールを Linux ユーザーに関連付けることはできません。また、unconfined_u および root は制限のないユーザーです。このため、この SELinux ユーザーに関連付けられたロールは、以下の表の SELinux ロールの種類とアクセスには含まれていません。
各 SELinux ロールは SELinux のタイプに対応しており、特定のアクセス権限を提供します。
表6.2 MLS での SELinux ロールのタイプおよびアクセス
| ロール | 型 | X Window System を使用したログイン | su および sudo | ホームディレクトリーおよび /tmp (デフォルト) での実行 | ネットワーク |
|---|---|---|---|---|---|
|
|
| いいえ | いいえ | はい | いいえ |
|
|
| はい | いいえ | はい | Web ブラウザーのみ (Firefox、GNOME Web) |
|
|
| はい | いいえ | はい | はい |
|
|
| はい |
| はい | はい |
|
|
| はい | はい | はい | |
|
|
| はい | はい | はい | |
|
|
|
| はい | はい | はい |
-
デフォルトでは、
sysadm_rロールにはsecadm_rロールの権限があります。つまり、sysadm_rロールを持つユーザーは、セキュリティーポリシーを管理できることを意味します。ユースケースが一致しない場合は、ポリシーのsysadm_secadmを無効にすることで、2 つのロールを分離できます。追加情報は、「Separating system administration from security administration in MLS」 を参照してください。 -
ログイン以外のロールの
dbadm_r、logadm_r、およびwebadm_rは、管理タスクのサブセットに使用できます。デフォルトでは、これらのロールは SELinux ユーザーに関連付けられていません。
