第2回構成が大きく変わったセキュリティポリシー 2.x系

古田真己
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
2006/1/14

　Referenceポリシーをセットアップ

　Referenceポリシーは開発中なので、ここでは12月12日のCVS版【注3】を使って説明します。またシステムはFedora Core開発版のRaw Hideを使用します。

【注3】
CVS版はSourceForgeのプロジェクトページから入手しました。プロジェクトページの左側にDownloadページへのリンクがあります。Referenceポリシーをサポートするcheckpolicy、PyXML、gccのバージョンについて説明がありますので、それを満たしているかどうかの確認が必要です。問題がなければCVS版をダウンロードします。

RPMパッケージが導入済みの場合、CVSによるダウンロードはSourceForge上のページを参考に、以下のように行えばよいでしょう。

[root@locahost ~]$ cd /usr/local/src
[root@locahost ~]$ cvs -d:pserver:anonymous@cvs.sourceforge.net:/cvsroot/serefpolicy login

（パスワードを聞かれるのでEnterを入力する）

[root@locahost ~]$ cvs -z3 -d:pserver:anonymous@cvs.sourceforge.net:/cvsroot/serefpolicy co -P refpolicy

　Referenceポリシーをセットアップするには以下のようにする必要があります。ここで注意！筆者はRaw Hideでこれを実行しましたが、FC4、FC5で実行する場合は各パッケージのバージョンが最新のReferenceポリシーを実行できるかどうか分かりません。

CVS版をダウンロードしたrefpolicyディレクトリが作成されます
ディレクトリの中に移動してinstall-srcを実行します（初回実行時にはバックアップするためのディレクトリがないというエラーが出ますが問題ありません）
Referenceポリシーが/etc/selinux/refpolicy以下にインストールされていますので、そのディレクトリで「make conf」を実行します
ポリシーをロードするために「make load」を実行します
「make relabel」を実行してファイルコンテキストを付け直します

/etc/selinux/configファイルを、「SELINUX=permissive」「SELINUXTYPE=refpolicy」となるように編集します

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#　　　enforcing - SELinux security policy is enforced.
#　　　permissive - SELinux prints warnings instead of enforcing.
#　　　disabled - SELinux is fully disabled.
SELINUX=permissive
# SELINUXTYPE= type of policy in use. Possible values are:
#　　　targeted - Only targeted network daemons are protected.
#　　　strict - Full SELinux protection.
SELINUXTYPE=refpolicy
#SELINUXTYPE=strict
#SELINUXTYPE=targeted

# SETLOCALDEFS= Check local definition changes
SETLOCALDEFS=0

再起動します

　再起動するとReferenceポリシーが有効になります。

2/3

Index
構成が大きく変わったセキュリティポリシー 2.x系
	Page1 SELinuxのセキュリティポリシーが2.x系に移行 Referenceポリシーの目標
	Page2 Referenceポリシーをセットアップ
	Page3 /etc/selinux/refpolicyのディレクトリ構造ポリシーモジュール用のポリシーファイルの構成

Security&Trust記事一覧

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。