はじめに 過去2回のSELinuxの記事は、なんだかんだ座学的な内容になってしまいましたが、今回は実際のSELinuxの動作(アクセス制御)について検証してみたいと思います。 検証内容 今回はSELinuxを利用して、httpdプロセスがアクセスできるファイルの制御をかけてみたいと思います(実用的ではないですが、SELinuxの動作を理解するにはいいかなと思ってます)。 具体的には、作成したindex.htmlに対してSELinuxでアクセス制限をかけて閲覧できなくし、その原因特定と修正方法を通してSELinuxの制御の仕方を学べればなと思います。 事前準備 httpdサービスをインストールします。
はじめに 前回、SELinuxのそもそのも設定の話について、コマンドを確認しながら紹介しました。 SELinuxとはなんぞやという座学からまとめることも考えましたが、自分自身の理解が浅いのと、 実際の設定をコマンドで確認しながらの方が理解しやすいかなと思い、コマンドを主軸において SELinuxとは何なのか確認していきたいと思います。 なお、本記事を読んだだけでは、SELinuxがどのように動作しているのかまではわかりません。 動作のイメージに関しては、次回以降の記事で書きたいと思います。 また、本来SELinuxはプロセスとファイル(ディレクトリ)に対して有効なものですが、これから書く内容は、ファイル に限定した内容になります。 SELinuxでよく使うコマンド コマンド 説明
はじめに 業務でサーバを設計・構築する際、SELinuxを有効にしていると想定していない動作をすることが多かったので、設定は必ず無効にしていました。 ただ、RHEL9.0以降では、SELINUX=disabledにすることもできなくなって[1]、公式ホームページには以下のような記述もあることから、今後はきちんとSELinuxについて理解しておかないといけないなと思い、とりあえずコマンドとか覚える意味で記事を書いてみようと思いました。 Red Hat は、SELinux を永続的に無効にする代わりに、Permissive モードを使用することを強く推奨します。Permissive モードの詳細は Permissive モードへの変更 を参照してください。 なお、1回では全て書ききれないので、細切れで記事にできればと思っています。 SELinux とは 以下は、Red Hat の記載引用。 S
SELinux (Security-Enhanced Linux) は、システムにアクセスできるユーザーを管理者がより詳細に制御できるようにする Linux® システム 用のセキュリティ・アーキテクチャです。もともとは、Linux Security Modules (LSM) を使用した Linux カーネルへの一連のパッチとして、アメリカ国家安全保障局 (NSA) によって開発されました。 SELinux は 2000 年にオープンソース・コミュニティにリリースされ、2003 年にアップストリームの Linux カーネルに統合されました。 セキュリティおよびコンプライアンスに対する Red Hat のアプローチ (動画) SELinux は、システム上のアプリケーション、プロセス、ファイルのアクセス制御を定義します。アクセス制御にはセキュリティポリシーを使用します。セキュリティポリシーは
背景 本家のruncで実装されているSELinux機能が、Youki (Rustでruncを再実装するOSS)に実装されていないことがわかった。 そこで、SELinux機能をYoukiに導入することになったのだが、SELinux crateが無かったのでRustで再実装することになり、そのプロジェクトにアサインしてもらった。 しかし、SELinuxについて何も知らなかったので、SELiuxについて色々と調べたことをまとめた。 SELinuxとは何か? security-enhanced Linuxの略称。MAC制御を行うことができる。通常のセキュリティに加えてSELinuxを設定することで、システムセキュリティを更に強化できる。 Labelとpolicyを組み合わせたセキュリティ制御が特徴である。process・file・networkなどのobject、process・userなどのsu
SELinuxの変更SELinuxに関しては、主な変更点として SELinuxで/etc/selinux/configで「selinux=disabled」が効かなくなる(ハングすることがあります)パフォーマンスの向上が挙げられています。今回は一番最初の「selinux=disabled」が使えなくなる(システムがハングすることがある)というのを見ていきたいと思います。 当たり前ですが、筆者の見解/立場ではSELinuxは無効化するべきでは無いので、無効化する前に「待て、考え直せ」とは言いたいです。 SELinuxを無効にしたときのハングアップまずは事象を見てみたいと思います。/etc/selinux/configで SELINUX=enforcing を SELINUX=disabled に設定し、再起動を行います。すると(タイミングの問題だと思いますが)下記のようにブート中にシステムが
SELinuxシリーズ 本記事は、SELinuxシリーズの1記事目です。 Linuxプロセスアクセス制御の概要 ←今ココ SELinuxの概要 SELinux Type Enforcement SELinuxの実践 (参考) SELinuxのRBAC、UBAC、MLS、MCS (参考) SELinux Module Policyのソースコード読解、ビルド 参考URL 1〜3記事目は、4記事目を理解するための前提知識をカバーしています。 4記事目が最も重要で、SELinuxの具体的な操作方法やコマンド、トラブルシューティング手順を紹介しています。 5記事目以降は参考情報です。 SELinuxの関連記事は、SELinuxタグから探せます。 一連の記事はFedora環境を前提として書いています。 FedoraやRHELに類するディストリビューションであればほぼ同等の挙動になると思いますが、他のデ
SELinuxとは DACとMAC SELinuxをインストールする SELinuxの有効化・無効化 ApacheでSELinuxを試してみる SELinuxポリシー コンテキスト ファイルのラベリング Access Vectorルール ドメイン遷移 ポートのラベリング アトリビュート SELinuxブール値 RBAC(Role Based Access Control) MCS(Multi Category Security) MLS(Multi Level Security) サイレント拒否 ApacheでCGIを動かしてみる その他の解決 関連コマンド getenforce/setenforceコマンド sestatusコマンド ausearchコマンド audit2whyコマンド audit2allowコマンド seinfoコマンド sesearchコマンド chconコマンド f
SELinuxをどう設定・運用していくのかの前提知識として、SELinuxの機能と仕組みの理解が欠かせません。SELinuxの主な機能は表1の通りです。 TEがプロセスごとに最小限の権限を割り当て、MCSは仮想化環境の分離に使われます。RBACは、ログインユーザーの権限を分ける機能で、例えばDB管理専門のユーザーを作れます。MLSは、軍事向けで、リソースにレベルを付け、その上下関係でアクセスを制御します。監査ログは、SELinuxの設定時や攻撃された場合の分析などに用いられます。Userland AVCは、アプリケーション独自のパーミッション(例:携帯電話の電話帳アクセス権限など)を、SELinuxでチェックできるようにする機能です。 今回は、LinuxサーバーでSELinuxを使っていく上で重要な機能となる「TE」と「MCS」を図解します。 最小限の権限を割り当てるTE プロセスごとに最
この記事の目的 SELinux って邪魔者ですか? 「トラブルシュートの時に邪魔だから」「トラブルの元だから」とか言う理由で /etc/selinux/config で SELINUX=disable したり setenforce 0 したりしていませんか? SELinux は理解さえすればとても簡単です. 本番環境でファイアウォールと WAF の設定をして満足していないで SELinux を使いましょう. 対象 SELinux を初めて触る人向けです. 玄人の方は他へ... 本稿の範囲 本稿では SELinux を導入しておしまいです.あくまで「みんな,簡単だからね,使おうね!」と言いたいのです. 本当は SELinux の効果を示すために Exploit を仕込んだアプリケーションから root を取って不正にファイルに触るところまでやりたいのですが,これまた別の記事にします. 僕の願
第1回 トラブル対処の第一歩は「permissiveモード」:サルでも分かるSELinuxトラブルシュート(1/2 ページ) 筆者はこれまで、SELinuxの効果や使うべき場所について紹介してきました。その中で、「SELinuxをとりあえず使うだけでも効果がある」と紹介しました。今回から数回に分けて、「とりあえず使う方法」について解説したいと思います。 はじめに 本連載は、これからSELinuxを本格的に使ってみようという方や、かつて使っては見たものの、その難解さに負けて挫折してしまったというような方を対象に、簡単に行えるトラブル対処方法を中心に解説していきます。専門的な話は極力避けるつもりですので、必ずしもSELinuxの効果を十分に使えるわけではありません。きちんとSELinuxを使いたい方やSELinuxを知りたい方は、ほかの書籍や記事、セミナーなども併せて参考にしてください。 ここ
FFRI,Inc. 1 Monthly Research SELinux 再入門 -基礎編- 株式会社FFRI http://www.ffri.jp Ver 2.00.01 FFRI,Inc. SELinux再入門のすすめ • 近年、仮想化やコンテナ、AndroidなどでSELinuxを使ったセキュリティ強化が 進んでいる • 一方、サーバ用途において、SELinuxを無言で無効化してきた技術者は数多 い – Web検索のレコメンドで一目瞭然である • 本資料は、最新のSELinux応用事例を理解するための準備資料としての活 用を想定 • なお次回以降、数回に渡り最新のSELinux応用事例を調査する予定 2 FFRI,Inc. 3 SELinux再入門 • SELinuxの概要 • SELinuxのアクセス制御モデル – Type Enforcement (TE) – Role-base
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く