ホームページ 運用・保守 Linuxの運用と保守 SELinux は何に使用されますか?

SELinux は何に使用されますか?

Feb 10, 2023 am 11:30 AM
linux selinux

SELinux の主な機能は、システム内のサービス プロセスにアクセスできるリソースを最小限に抑え (最小特権の原則)、Linux システム内の悪意のあるコードのアクティビティを可能な限り制限することです。 SELinuxは、Linuxシステムに搭載されているセキュリティ強化機能モジュールであり、プロセスリソースやファイルリソースに対してMAC(Mandatory Access Control)を利用することで、Linuxシステムのセキュリティを向上させます。

SELinux は何に使用されますか?

#このチュートリアルの動作環境: linux7.3 システム、Dell G3 コンピューター。

SELinux とは

Security-Enhanced Linux (Security-Enhanced Linux) は SELinux と呼ばれ、Linux カーネル モジュールであり、 Linux セキュリティ サブシステム。

SELinux は主に米国国家安全保障局によって開発されました。バージョン 2.6 以降の Linux カーネルには、SELinux モジュールが統合されています。

SELinux の構造と構成は非常に複雑で、概念的なものが多く、学習するのが困難です。多くの Linux システム管理者は、SELinux が面倒であるため、SELinux をオフにしています。

SELinux の用途

SELinux の主な機能は、システム内のサービス プロセスにアクセスできるリソース (最小特権の原則)。

従来の Linux システムではセキュリティのために DAC (任意アクセス制御) が使用されていることが知られていますが、SELinux は Linux システムに導入されているセキュリティ強化機能モジュールであり、プロセスおよびファイル リソースには MAC (MAC) を使用します。 ) Linux システムのセキュリティが向上します。

SELinux の MAC は DAC を完全に置き換えるものではないことに注意してください。それどころか、これは Linux システム セキュリティのための追加のセキュリティ層です。つまり、SELinux を使用する場合、DAC は依然としてそのままです。アクセスが許可されている場合は、SELinux ポリシーが使用されますが、許可されていない場合、DAC ルールがアクセスを拒否している場合は、SELinux ポリシーを使用する必要はまったくありません。

たとえば、ユーザーが実行権限 (rw-) なしでファイルに対して操作を実行しようとすると、従来の DAC ルールによってユーザーのアクセスが拒否されるため、SELinux ポリシーを使用する必要はありません。

従来の Linux DAC セキュリティ制御方式と比較して、SELinux には次のような多くの利点があります。

  • 最も強力なアクセス制御と考えられている MAC 制御方式を使用します。メソッド;

  • これは、サブジェクト (ユーザーまたはプロセス) に最小限のアクセス権限を与えます。つまり、各サブジェクトには、関連するタスクを完了するために必要なものだけが与えられます。 。最小限のアクセス権限を付与することで、サブジェクトが他のユーザーやプロセスに悪影響を与えるのを防ぐことができます。

  • #SELinux 管理プロセスでは、各プロセスに独自の実行領域 (ドメインと呼ばれます) があり、各プロセスは独自のドメイン内でのみ実行され、特別なアクセス許可が付与されない限り、他のプロセスやファイルにアクセスできません。

  • SELinux は Permissive モードに調整でき、システム上で SELinux を実行することによって生成されたインプレッションを表示できます。 Permissive モードでも、SELinux はセキュリティ上の脆弱性とみなしたものをログに記録しますが、それらを防止することはできません。

実際、SELinux の利点を理解する最も直接的な方法は、SELinux が Linux システム上で実行されていないときに何が起こるかを確認することです。

たとえば、Web サーバー デーモン (httd) は特定のポートで何が起こっているかをリッスンし、Web ブラウザからホームページを表示するという単純なリクエストを受け取ります。 SELinux による制約を受けないため、httpd デーモンはリクエストを受信した後、次のことを完了できます。

  • 関連する所有者とグループの rwx 権限に従って、次のことを実行できます。任意のファイルまたはディレクトリにアクセスします。

  • ファイルのアップロードの許可やシステム表示の変更など、セキュリティ リスクを引き起こすアクティビティを完了します。

  • リッスンできます。任意のポートで受信リクエスト。

しかし、SELinux にバインドされたシステムでは、httpd デーモンはより厳密に制御されます。上記の例を引き続き使用すると、httped は SELinux がリッスンを許可するポートでのみリッスンできます。また、SELinux は、適切に設定されたセキュリティ コンテキストなしで httpd がファイルにアクセスすることを防ぎ、SELinux で明示的に有効になっていない安全でないアクティビティを拒否します。

つまり、本質的に、SELinux は Linux システム内の悪意のあるコードのアクティビティを最大限に制限します。

関連する推奨事項: 「Linux ビデオ チュートリアル

以上がSELinux は何に使用されますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

LinuxターミナルでPythonバージョンを表示するときに発生する権限の問題を解決する方法は? LinuxターミナルでPythonバージョンを表示するときに発生する権限の問題を解決する方法は? Apr 01, 2025 pm 05:09 PM

LinuxターミナルでPythonバージョンを表示する際の許可の問題の解決策PythonターミナルでPythonバージョンを表示しようとするとき、Pythonを入力してください...

Docker環境にPECLを使用して拡張機能をインストールするときにエラーが発生するのはなぜですか?それを解決する方法は? Docker環境にPECLを使用して拡張機能をインストールするときにエラーが発生するのはなぜですか?それを解決する方法は? Apr 01, 2025 pm 03:06 PM

エラーの原因とソリューションPECLを使用してDocker環境に拡張機能をインストールする場合、Docker環境を使用するときに、いくつかの頭痛に遭遇します...

ランプアーキテクチャの下でnode.jsまたはPythonサービスを効率的に統合する方法は? ランプアーキテクチャの下でnode.jsまたはPythonサービスを効率的に統合する方法は? Apr 01, 2025 pm 02:48 PM

多くのウェブサイト開発者は、ランプアーキテクチャの下でnode.jsまたはPythonサービスを統合する問題に直面しています:既存のランプ(Linux Apache MySQL PHP)アーキテクチャWebサイトのニーズ...

APSChedulerタイミングタスクをMACOSのサービスとして構成する方法は? APSChedulerタイミングタスクをMACOSのサービスとして構成する方法は? Apr 01, 2025 pm 06:09 PM

nginと同様に、APSChedulerタイミングタスクをサービスとして構成する場合、APSChedulerタイミングタスクをMACOSプラットフォームでサービスとして構成します...

PythonインタープリターはLinuxシステムで削除できますか? PythonインタープリターはLinuxシステムで削除できますか? Apr 02, 2025 am 07:00 AM

Linux Systemsに付属するPythonインタープリターを削除する問題に関して、多くのLinuxディストリビューションは、インストール時にPythonインタープリターをプリインストールし、パッケージマネージャーを使用しません...

マルチスレッドをC言語で実装する4つの方法 マルチスレッドをC言語で実装する4つの方法 Apr 03, 2025 pm 03:00 PM

言語のマルチスレッドは、プログラムの効率を大幅に改善できます。 C言語でマルチスレッドを実装する4つの主な方法があります。独立したプロセスを作成します。独立して実行される複数のプロセスを作成します。各プロセスには独自のメモリスペースがあります。擬似マルチスレッド:同じメモリ空間を共有して交互に実行するプロセスで複数の実行ストリームを作成します。マルチスレッドライブラリ:pthreadsなどのマルチスレッドライブラリを使用して、スレッドを作成および管理し、リッチスレッド操作機能を提供します。 Coroutine:タスクを小さなサブタスクに分割し、順番に実行する軽量のマルチスレッド実装。

web.xmlを開く方法 web.xmlを開く方法 Apr 03, 2025 am 06:51 AM

web.xmlファイルを開くには、次の方法を使用できます。テキストエディター(メモ帳やテキストエディットなど)を使用して、統合開発環境(EclipseやNetBeansなど)を使用してコマンドを編集できます(Windows:Notepad web.xml; Mac/Linux:Open -A Textedit Web.xml)

See all articles