目覚めよ! SELinux

SELinux Policy EditorでSELinuxを簡単に


中村 雄一
日立ソフトウェアエンジニアリング株式会社
技術開発本部 研究部 技師
2006/12/8

 裏方に徹するSEEditの働き

 SEEditの動作を見たところで、一体どんな仕組みで簡略化を実現しているのかを見てみましょう。図8が、SEEditの構成図です。最も中核となるのが、「単純化ポリシー」という独自のポリシー・ファイルです。単純化ポリシーは、/etc/seedit/policy以下の「.sp」という拡張子のファイルに格納されています。単純化ポリシーの記述書式として、SPDLが採用されています。SPDLは、先ほど出てきた、 「allow /var/www/html/pukiwiki/diff/* r,w,s;」といったような書式です。

 SPDLでは、パーミッションの絞り込みおよびラベルの隠ぺいにより、SELinuxの複雑な設定書式を意識させないようになっています。これが、SPDLコンパイラ(実体はseedit-loadコマンド)により、SELinuxのポリシーに変換されます。変換後のポリシーは「/etc/selinux/seedit」以下に格納されます。より簡単に設定が行えるように、先ほど紹介したようなGUIやコマンドラインツールも用意されています。

図8 SEEditの構成

 単純化ポリシーで、SELinuxの複雑さを隠ぺいしているわけですが、一体どのようにして、これがSELinuxのポリシーに変換されるのでしょうか。図5で「セーブし、設定を適用」ボタンを押したときに内部で行われている処理を、図9に示しました。処理の詳細は、ユーザーが知る必要はないので、細かい説明は省略しますが、いかに面倒な処理を肩代わりしてくれているかが分かるでしょう。

図9 「設定を反映」ボタンを押したときに、こんな処理が行われている
(画像をクリックすると拡大します)

 ドメインの新規作成も簡単

 「ステータス」ツールで、「unconfined」と表示されているプロセスを安全に動かすためには、ドメインを新規作成しなければなりませんが、「ドメインの管理」を使えば、簡単に設定できます。

 図10は、vsftpdにドメインを付与する設定をしている画面です。「ブラウズ」ボタンで、実行ファイル名を指定します。すると、ドメインも自動的に命名されます。あとは、「デーモンプログラムですか?」などの質問事項に答えて「テンプレートを作成」ボタンを押すと、下半分に最低限の設定が提示されます。「セーブし設定を適用」ボタンを押し、vsftpdを再起動すれば、vsftpdはvsftpd_tドメインで動作するようになります。足りない設定については、Permissiveモードでvsftpdをテスト動作させ、「ポリシーの生成」によって生成することができます。

図10 ドメインの新規作成画面

 あなたのフィードバックが明日のSEEditを作ります

 今回は、SEEditの簡単な使い方を紹介しました。詳しい操作については、マニュアルが参考になるでしょう。

 今後の開発の方向性としては、2つの方向性があります。1つは、実装の洗練です。Fedora Coreなどへのディストリビューションに提案すべく、実装を見直しています。もう1つは、新機能の開発です。組み込みLinuxに特化した設定機能や、単純化ポリシーとリファレンスポリシーが共存できる機能などを検討しています。

 SEEditは、現在も活発に開発が進められています。開発は日立ソフトだけで行われているように思われがちですが、アイデアさえあれば、誰でも開発プロジェクトに参加可能です。海外の方も参加しています。また、ユーザーからのフィードバックも募集しています。質問がありましたら、ぜひ気軽にお問い合わせください。

3/3
 

Index
SELinux Policy EditorでSELinuxを簡単に
  Page1
あなたのLinuxの中にもSELinuxは眠っている
SEEditとは
まずはSEEditのインストール
SEEditはGUIで直感的に理解可能
  Page2
SELinuxを簡単に操れるSEEditの威力
Page3
裏方に徹するSEEditの働き
ドメインの新規作成も簡単
あなたのフィードバックが明日のSEEditを作ります

Profile
中村 雄一(なかむら ゆういち)

日立ソフトウェアエンジニアリング株式会社

技術開発本部 研究部 技師

学生時代に情報処理の単位を落としたことがきっかけで、コンピュータに興味を持つ。

日立ソフトに入社後は,SELinux関連のの研究開発およびビジネス化支援に従事すると共に、SELinuxの普及活動にも注力。SELinux Policy Editorの主要開発者でもあり,これを武器にSELinuxのさらなる布教を企んでいる。

現在、ITmedia オルタナティブ・ブログにて「セキュアOS布教日記」 を執筆中。

●修正履歴

【2007/2/19
新バージョンのリリースに伴い、「2006年12月現在の最新版はCent OS 4とFedora Core 6で動作するバージョン2.1β4となります」という表記を「2007年2月現在の最新版はCent OS 4とFedora Core 6で動作するバージョン2.1.0となります」と変更しました。

また、SEEditがFedora Core 6のExtrasに取り込まれたため、インストールの説明を修正しました。

関連記事
  連載:SELinuxの最新動向
  連載:セキュアOS「LIDS」入門
  ITmedia エンタープライズ:SELinuxの現状:使いやすさの改善が進むSELinux

Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
  • 情報危機管理コンテストで考える――人材は育てるもの? それとも育つもの? (2017/6/21)
    さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25〜27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱(ぜいじゃく)性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた
  • リクルートのCSIRTが、マルウェア対策の一部を内製化した理由 (2017/6/19)
     本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピューターインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする
  • 「WannaCry」の次は「SambaCry」? (2017/6/14)
    2017年5月のセキュリティクラスタ、ゴールデンウイークはのんびり過ごせたものの、その後が大変。ワームとして動くランサムウェア「WannaCry」の話題で持ちきりとなりました。騒ぎが落ち着いたと思ったら「SambaCry」が話題に。結局5月末まで、Windowsファイル共有サービスがタイムライン(TL)を賑わしていました。この他、無線LANのタダ乗り無罪判決に対し、総務省が違法だと主張してTL上で意見が飛び交いました。
  • 「WannaCry」にどう対処する、猛威を振るった「ランサムウェア」を知る記事12選 (2017/5/30)
     2017年5月12日からランサムウェア「WannaCry」が大きな話題になった。これをきっかけにランサムウェア対策を講じることになった企業も多いのではないだろうか。本稿では、ランサムウェアに関する記事をピックアップ。今後のセキュリティ対策の参考にしてみてはいかがだろうか
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH