SELinux は何に使用されますか?

SELinux の主な機能は、システム内のサービス プロセスにアクセスできるリソースを最小限に抑え (最小特権の原則)、Linux システム内の悪意のあるコードのアクティビティを可能な限り制限することです。 SELinuxは、Linuxシステムに搭載されているセキュリティ強化機能モジュールであり、プロセスリソースやファイルリソースに対してMAC(Mandatory Access Control)を利用することで、Linuxシステムのセキュリティを向上させます。

#このチュートリアルの動作環境: linux7.3 システム、Dell G3 コンピューター。

SELinux とは

Security-Enhanced Linux (Security-Enhanced Linux) は SELinux と呼ばれ、Linux カーネル モジュールであり、 Linux セキュリティ サブシステム。

SELinux は主に米国国家安全保障局によって開発されました。バージョン 2.6 以降の Linux カーネルには、SELinux モジュールが統合されています。

SELinux の構造と構成は非常に複雑で、概念的なものが多く、学習するのが困難です。多くの Linux システム管理者は、SELinux が面倒であるため、SELinux をオフにしています。

SELinux の用途

SELinux の主な機能は、システム内のサービス プロセスにアクセスできるリソース (最小特権の原則)。

従来の Linux システムではセキュリティのために DAC (任意アクセス制御) が使用されていることが知られていますが、SELinux は Linux システムに導入されているセキュリティ強化機能モジュールであり、プロセスおよびファイル リソースには MAC (MAC) を使用します。 ) Linux システムのセキュリティが向上します。

SELinux の MAC は DAC を完全に置き換えるものではないことに注意してください。それどころか、これは Linux システム セキュリティのための追加のセキュリティ層です。つまり、SELinux を使用する場合、DAC は依然としてそのままです。アクセスが許可されている場合は、SELinux ポリシーが使用されますが、許可されていない場合、DAC ルールがアクセスを拒否している場合は、SELinux ポリシーを使用する必要はまったくありません。

たとえば、ユーザーが実行権限 (rw-) なしでファイルに対して操作を実行しようとすると、従来の DAC ルールによってユーザーのアクセスが拒否されるため、SELinux ポリシーを使用する必要はありません。

従来の Linux DAC セキュリティ制御方式と比較して、SELinux には次のような多くの利点があります。

• 最も強力なアクセス制御と考えられている MAC 制御方式を使用します。メソッド;

• これは、サブジェクト (ユーザーまたはプロセス) に最小限のアクセス権限を与えます。つまり、各サブジェクトには、関連するタスクを完了するために必要なものだけが与えられます。 。最小限のアクセス権限を付与することで、サブジェクトが他のユーザーやプロセスに悪影響を与えるのを防ぐことができます。

• #SELinux 管理プロセスでは、各プロセスに独自の実行領域 (ドメインと呼ばれます) があり、各プロセスは独自のドメイン内でのみ実行され、特別なアクセス許可が付与されない限り、他のプロセスやファイルにアクセスできません。

• SELinux は Permissive モードに調整でき、システム上で SELinux を実行することによって生成されたインプレッションを表示できます。 Permissive モードでも、SELinux はセキュリティ上の脆弱性とみなしたものをログに記録しますが、それらを防止することはできません。

実際、SELinux の利点を理解する最も直接的な方法は、SELinux が Linux システム上で実行されていないときに何が起こるかを確認することです。

たとえば、Web サーバー デーモン (httd) は特定のポートで何が起こっているかをリッスンし、Web ブラウザからホームページを表示するという単純なリクエストを受け取ります。 SELinux による制約を受けないため、httpd デーモンはリクエストを受信した後、次のことを完了できます。

• 関連する所有者とグループの rwx 権限に従って、次のことを実行できます。任意のファイルまたはディレクトリにアクセスします。

• ファイルのアップロードの許可やシステム表示の変更など、セキュリティ リスクを引き起こすアクティビティを完了します。

• リッスンできます。任意のポートで受信リクエスト。

しかし、SELinux にバインドされたシステムでは、httpd デーモンはより厳密に制御されます。上記の例を引き続き使用すると、httped は SELinux がリッスンを許可するポートでのみリッスンできます。また、SELinux は、適切に設定されたセキュリティ コンテキストなしで httpd がファイルにアクセスすることを防ぎ、SELinux で明示的に有効になっていない安全でないアクティビティを拒否します。

つまり、本質的に、SELinux は Linux システム内の悪意のあるコードのアクティビティを最大限に制限します。

関連する推奨事項: 「Linux ビデオ チュートリアル 」

以上がSELinux は何に使用されますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。