第1回 SELinuxの出自とキソのキソ

古田 真己
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
2005/11/25

 ドメインとアクセス制御

 最小権限化を実現しているSELinuxでpasswdコマンドを成功させるためには、passwd_tドメインでプロセスが実行されなければなりません。passwd_tドメイン(/usr/bin/passwdの実行プロセス)はshadow_tタイプ(/etc/shadowファイル)を編集可能な権限を持っています。

 しかし、rootユーザーのログイン時のセキュリティコンテキストは「root:sysadm_r:sysadm_t」となっており、このままではrootといえどもshadow_tのセキュリティコンテキストを持つ/etc/shadowにアクセスできません。

 SELinuxでは、実行ファイルをexecve()したときに、元のドメインから目的のドメインに移行する仕組みが提供されています。これをドメイン遷移といいます。この場合、/usr/bin/passwd(エントリポイント)を通してsysadm_rからpasswd_tにドメイン遷移を行うように定義されています。このようにSELinuxでは、最小権限化とともに必要に応じてドメインを遷移する許可を与えることが可能です。

 Role Based Access Control(RBAC)とは

 ロールは、いくつかのドメインを束ねてユーザーと結び付ける役割を持っています。以下に例を挙げます。

 Linuxシステム上の各ユーザーはロールを選択することにより使用可能なドメインが決定され、システムにおける役割が決定されます。これはユーザー権限の最小化やroot権限の最小化に役立ちます。

 SELinuxを使用するメリット

 ここまで簡単にSELinuxに関する再確認を行いました。SELinuxを使うことで得られるメリットには、最小権限化、ドメインによるコンパートメント化、情報フローや処理フローの明確化によるシステムの堅牢性強化が挙げられます。

 次回より、SELinuxを取り巻く最新動向をお伝えしていきます。

3/3
 

Index
SELinuxの出自とキソのキソ
  Page1
SELinuxが生まれるまで
SELinuxの現在
  Page2
SELinuxのアクセス制御の基礎
Type Enforcement(TE)とは
Page3
ドメインとアクセス制御
Role Based Access Control(RBAC)とは
SELinuxを使用するメリット

Profile
古田 真己(ふるた まさき)

サイオステクノロジー株式会社
インフラストラクチャービジネスユニット Linuxテクノロジー部
OSSテクノロジーグループ

 学生時代にUNIXマシン欲しさ、触りたさに秋葉原へ通い詰める。秋葉原でAT互換機や中古UNIXマシンの販売などを経て、IT業界に転職。その後Linuxのエンタープライズ分野での性能評価や、構築案件などを経験し、2004年にテンアートニ(現・サイオステクノロジー)入社。RedHat Linuxのサポート業務、構築案件に取り組んできた。

 現在はサイオステクノロジーでSELinuxの調査・研究、ビジネスでの普及活動に注力している。

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間