目覚めよ! SELinux

SELinux Policy EditorでSELinuxを簡単に


中村 雄一
日立ソフトウェアエンジニアリング株式会社
技術開発本部 研究部 技師
2006/12/8

 裏方に徹するSEEditの働き

 SEEditの動作を見たところで、一体どんな仕組みで簡略化を実現しているのかを見てみましょう。図8が、SEEditの構成図です。最も中核となるのが、「単純化ポリシー」という独自のポリシー・ファイルです。単純化ポリシーは、/etc/seedit/policy以下の「.sp」という拡張子のファイルに格納されています。単純化ポリシーの記述書式として、SPDLが採用されています。SPDLは、先ほど出てきた、 「allow /var/www/html/pukiwiki/diff/* r,w,s;」といったような書式です。

 SPDLでは、パーミッションの絞り込みおよびラベルの隠ぺいにより、SELinuxの複雑な設定書式を意識させないようになっています。これが、SPDLコンパイラ(実体はseedit-loadコマンド)により、SELinuxのポリシーに変換されます。変換後のポリシーは「/etc/selinux/seedit」以下に格納されます。より簡単に設定が行えるように、先ほど紹介したようなGUIやコマンドラインツールも用意されています。

図8 SEEditの構成

 単純化ポリシーで、SELinuxの複雑さを隠ぺいしているわけですが、一体どのようにして、これがSELinuxのポリシーに変換されるのでしょうか。図5で「セーブし、設定を適用」ボタンを押したときに内部で行われている処理を、図9に示しました。処理の詳細は、ユーザーが知る必要はないので、細かい説明は省略しますが、いかに面倒な処理を肩代わりしてくれているかが分かるでしょう。

図9 「設定を反映」ボタンを押したときに、こんな処理が行われている
(画像をクリックすると拡大します)

 ドメインの新規作成も簡単

 「ステータス」ツールで、「unconfined」と表示されているプロセスを安全に動かすためには、ドメインを新規作成しなければなりませんが、「ドメインの管理」を使えば、簡単に設定できます。

 図10は、vsftpdにドメインを付与する設定をしている画面です。「ブラウズ」ボタンで、実行ファイル名を指定します。すると、ドメインも自動的に命名されます。あとは、「デーモンプログラムですか?」などの質問事項に答えて「テンプレートを作成」ボタンを押すと、下半分に最低限の設定が提示されます。「セーブし設定を適用」ボタンを押し、vsftpdを再起動すれば、vsftpdはvsftpd_tドメインで動作するようになります。足りない設定については、Permissiveモードでvsftpdをテスト動作させ、「ポリシーの生成」によって生成することができます。

図10 ドメインの新規作成画面

 あなたのフィードバックが明日のSEEditを作ります

 今回は、SEEditの簡単な使い方を紹介しました。詳しい操作については、マニュアルが参考になるでしょう。

 今後の開発の方向性としては、2つの方向性があります。1つは、実装の洗練です。Fedora Coreなどへのディストリビューションに提案すべく、実装を見直しています。もう1つは、新機能の開発です。組み込みLinuxに特化した設定機能や、単純化ポリシーとリファレンスポリシーが共存できる機能などを検討しています。

 SEEditは、現在も活発に開発が進められています。開発は日立ソフトだけで行われているように思われがちですが、アイデアさえあれば、誰でも開発プロジェクトに参加可能です。海外の方も参加しています。また、ユーザーからのフィードバックも募集しています。質問がありましたら、ぜひ気軽にお問い合わせください。

3/3
 

Index
SELinux Policy EditorでSELinuxを簡単に
  Page1
あなたのLinuxの中にもSELinuxは眠っている
SEEditとは
まずはSEEditのインストール
SEEditはGUIで直感的に理解可能
  Page2
SELinuxを簡単に操れるSEEditの威力
Page3
裏方に徹するSEEditの働き
ドメインの新規作成も簡単
あなたのフィードバックが明日のSEEditを作ります

Profile
中村 雄一(なかむら ゆういち)

日立ソフトウェアエンジニアリング株式会社

技術開発本部 研究部 技師

学生時代に情報処理の単位を落としたことがきっかけで、コンピュータに興味を持つ。

日立ソフトに入社後は,SELinux関連のの研究開発およびビジネス化支援に従事すると共に、SELinuxの普及活動にも注力。SELinux Policy Editorの主要開発者でもあり,これを武器にSELinuxのさらなる布教を企んでいる。

現在、ITmedia オルタナティブ・ブログにて「セキュアOS布教日記」 を執筆中。

●修正履歴

【2007/2/19
新バージョンのリリースに伴い、「2006年12月現在の最新版はCent OS 4とFedora Core 6で動作するバージョン2.1β4となります」という表記を「2007年2月現在の最新版はCent OS 4とFedora Core 6で動作するバージョン2.1.0となります」と変更しました。

また、SEEditがFedora Core 6のExtrasに取り込まれたため、インストールの説明を修正しました。

関連記事
  連載:SELinuxの最新動向
  連載:セキュアOS「LIDS」入門
  ITmedia エンタープライズ:SELinuxの現状:使いやすさの改善が進むSELinux

Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH