Tag Archives: selinux

Scientific Linux 6 でのSELinux管理コマンドまとめ

CentOS 5 から Scientific Linux 6 で環境再構築するタイミングでSELinuxを有効にして運用しているので、SELinux運用において必要なコマンドをまとめておく。SELinux管理について体系的に学びたい場合は 日経Linux: 第一人者がやさしく教える新SELinux入門 が良いだろう。

セキュリティ・コンテキストの読み方

<ユーザー名>:<ロール>:<ドメイン or タイプ>:<MLS>

識別子 意味
ユーザー名 プロセスまたはファイルを作成したSELinuxユーザー名。あまり気にしなくてよい
ロール Strictポリシーで使用する。Targetedポリシーでは使わないので無視してよい
ドメイン or タイプ プロセスの場合はドメインと呼び、ファイルなどのリソースの場合はタイプと呼ぶ。重要な識別子
MLS MLSポリシーで使用するレベルやカテゴリー。Targetedポリシーでは使わないので無視してよい

SELinuxは「○○ドメインは△△タイプを□□できる」(例: smbd_tドメインはsamba_share_tタイプをreadできる)といった定義がされたポリシー・ファイルによってアクセス制御を行う。つまり(Targetedポリシーの)SELinux管理とは、このドメインとタイプを管理することが中心となる。

Continue reading Scientific Linux 6 でのSELinux管理コマンドまとめ