最終更新:2015-08-24 (月) 00:31:31 (1810d)  

SELinux
Top / SELinux

Security-Enhanced Linux

ドメイン-タイプモデルに基づくLinux用の強制アクセス制御(MAC:Mandatory Access Control)セキュリティシステム?

動作概要

SELinuxにおけるMACの実装でも、プログラムがファイルを/tmp/ に作成し、Unixのパーミッションによれば誰でも読み出しアクセス可能な状態にできますが、Unixパーミッションチェック適用後に、SELinuxのパーミッションチェックによってファイルへのアクセスを許すかどうかが決定されます。すなわち各種のセキュリティ対策の中でも際だった特徴として、たとえファイルがUnixのパーミッションモード0777を持っていても、そのファイルの読み出し、書き込み、または実行のためのアクセスを拒否される可能性があるわけです。

状態を確認して無効に

sestatus
setenforce 0

コマンド

selinux-utils

  • avcstat?
  • compute_av?
  • compute_create?
  • compute_member?
  • compute_relabel?
  • compute_user?
  • getconlist?
  • getdefaultcon?
  • getenforce
  • getfilecon?
  • getpidcon?
  • getsebool?
  • getseuser?
  • matchpathcon?
  • policyvers?
  • sefcontext_compile?
  • selinux_check_securetty_context?
  • selinuxenabled?
  • selinuxexeccon?
  • setenforce
  • setfilecon?
  • togglesebool?

policycoreutils

  • fixfiles?
  • load_policy?
  • mcstransd?
  • restorecon
  • setfiles?
  • audit2allow
  • audit2why?
  • chcat?
  • newrole?
  • secon?
  • semodule_deps?
  • semodule_expand?
  • semodule_link?
  • semodule_package?
  • semodule_unpackage?
  • sepolgen-ifgen?
  • sepolgen-ifgen-attr-helper?
  • genhomedircon?
  • load_policy?
  • open_init_pty?
  • restorecond?
  • run_init?
  • se_apt-get?
  • se_aptitude?
  • se_dpkg?
  • se_dpkg-reconfigure?
  • se_dselect?
  • se_synaptic?
  • semanage?
  • semodule?
  • sestatus
  • setsebool?

coreutils

動作モード

  • disableモード:SELinuxを完全に無効にする。
  • enforcingモード:ポリシーに違反するアクセスに対し、ログに書き出して拒否する。
  • permissiveモード:ポリシーに違反するアクセスに対し、ログに書き出して許可する。

設定ファイル

SELinux Troubleshooter

  • 「アプリケーション」>「システムツール」

「SELinuxのせいで動かない」撲滅ガイド

参考