SELinuxのアクセス制御設定の変遷
SELinuxのアクセス制御設定の変遷
あとで紹介するディストリビューションFedora Core 3(以下FC3)以前は、すべてのアプリケーションに対してアクセス制御設定を行うことが前提でした。いくつかのアプリケーションに対してはデフォルト設 定がありましたが、そのままでは動作しないものも多くありました。このためSELinuxは、非常にセキュアなシステム構築が可能であるものの、敷居が高 いものでした。
そこで、一部のアプリケーションのみをアクセス制御設定で守る、という考え方が生まれました。この考え方に基づく設定はtargeted policyと呼ばれ、以前の設定はstrict policyと呼ばれます。
このtargeted policyでは、ApacheやBINDのように外部と通信を行う、いくつかのサーバアプリケーションに対してのみアクセス制御を行います。これによ り、内部でroot権限を奪われた場合の攻撃は防げませんが、アクセス制御設定されたサーバアプリケーションからの侵入攻撃などを防ぐことが可能です。ま た、設定のコンフィグレーションも容易にできるようになっていて、SELinux利用の敷居を下げています。
SELinuxを取り巻く環境
前述したようにSELinuxを利用するための敷居は下がっていますが、実際にはどのような状況になっているのでしょうか。SELinuxを取り巻く環境について説明します。
ディストリビューションでの対応
SELinuxは、Linux Kernel 2.6に標準添付されていることから、さまざまなディストリビューションで対応されるようになってきました。
- フリーのディストリビューション
-
- Fedora Core 2、Fedora Core 3
- 商用ディストリビューション
-
- Turbolinux 10 Server(ターボリナックス株式会社)
- Red Hat Enterprise Linux 4(レッドハット株式会社)
FC3では、先ほど説明したtargeted policyが採用され、デフォルトインストールでSELinux機能がONとなっています。
商用ディストリビューションでは、Turbolinux 10 Serverがいち早くSELinuxに対応しました。また、最近発売が発表されたRed Hat Enterprise Linux 4は、FC3がベースとなっていて、targeted policyが採用され、デフォルトインストールでSELinux機能がONとなっています。
日本でのSELinux団体
日本におけるSELinuxの関連団体としては、以下の2つがあります。
- 日本オープンソース推進機構(JOSAO) SELinux専門委員会
- NPO団体の専門委員会で、SELinuxの普及促進を目的とし、ユーザ団体と技術やサービスを提供する団体との橋渡しの役割を担っています。
http://www.josao.jp/ ※対象ページ閉鎖 - 日本SELinuxユーザ会
- 有志による団体で、ユーザレベルでのSELinux普及を目指し、SELinuxを含めたセキュアOS技術者の交流を目的とした活動を行っています。
http://www.selinux.gr.jp/ ※対象ページ閉鎖
情報源
今回はSELinuxの概要しかご紹介できませんでしたので、最後にSELinuxの代表的な情報源を示しておきます。
| NSAのSELinuxサイト | http://www.nsa.gov/selinux/ |
| Fedora Core ProjectのSELinuxサイト | http://fedora.redhat.com/projects/selinux/※対象ページ閉鎖 |
日本語の情報源としては、日本SELinuxユーザ会のサイトがよいでしょう。日本語のメーリングリストも運営されていますし、国内国外の情報源となるリンクがまとめられています。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
