第5回 トラブルシューティングはCentOS 5におまかせ


面 和毅
サイオステクノロジー株式会社
OSSテクノロジーセンター
開発支援グループ
グループマネージャー
2007/11/15


 SELinux Managerを試してみる

 次に、「SELinux Maganer」を起動してみましょう。

図8 SELinux Managerを起動する

 SELinux Managerは、SELinuxに関するほとんどの設定を行うことができるGUIツールです。CentOS 4では「system-config-securitylevel」のGUIからSELinuxの設定の一部やBooleanを変更することができましたが、CentOS 5ではSELinuxに関する設定は、このSELinux Managerを用いて行うことになります(ちなみに、system-config-securitylevelでも引き続き、CentOS 4のときと同じメニューでSELinuxに関する設定を変更することは可能です)。

●Status

 system-config-securitylevelで設定できていたメニューと同じです。このメニューで、システム起動時のSELinuxのモードをEnforcing/Permissive/Disabledから選択したり、現在動作しているシステムのSELinuxのモードを変更することができます。また、システム全体の再ラベリングを次回ブート時に行うように設定することもできます。

図9 Status画面

●Boolean

 このメニューで、SELinuxのBooleanを変更することができます。こちらもsystem-config-securitylevelで設定できるものと同じになります。CentOS 4のときと比べて、変更できるBooleanの数が非常に多くなっていることが分かります。

図10 Boolean画面

●File Labeling

 このメニューで、システム上の任意のファイルのファイルコンテキストを修正することができます。CentOS 4のときにはchconコマンドを使用するか、ポリシーの修正で変更を行っていましたが、CentOS 5ではこのメニューで変更を行うことができます。ファイルやディレクトリを表す際には、正規表現が使用できます。

図11 File Labeling画面

●User Mapping

 このメニューで、Linux上でログイン時に使用するユーザーID(UID)と、SELinux上のUIDとのマッピングを行うことができます。LinuxでのUIDとSELinuxのUIDは全く別の名前空間となっており、SELinuxのUIDは、

SELinux UID -> SELinux Role -> Type

と、ロールを介して最終的にTypeに結び付けてアクセス制御を行うための識別子です。そのため、LinuxのUIDがrootのアカウントを、SELinuxの「hogehoge」のような全く別のUIDに結び付けることが可能で、これにより最終的にロールを介したアカウント制御を行っていきます。CentOS 4では追加/修正する際には種々の設定ファイルを修正する必要がありましたが、CentOS 5ではこのメニューで簡単にUIDの結び付けを行うことができます。

図12 User Mapping画面

●SELinux User

 このメニューで、上の項目で説明したSELinux UIDを追加/編集することができます。UID/ロールとMLS/MCS識別子も、ここで修正を行うことができます。

図13 SELinux User画面

●Translation

 このメニューで、MLS識別子(sXXcYYで表されるもの)を、表示上で人間の読みやすい形に変換するための対応表を作成することができます。ここで設定した読み替え(Translation)部分が、“ps axZ”や“ls -alZ”などでSELinuxのセキュリティコンテキストを確認した際に、表示されるものになります。

図14 Translation画面

●Network Port

 このメニューで、システムのポート番号/プロトコルの組み合わせに振られているセキュリティコンテキストを変更することができます。

 例えば、AntiVirusなどに中継させるためにSMTPポートを10025番にずらしてsendmailを立ち上げるなどということはよく行われていると思いますが、CentOS 4ではSELinuxのポリシーソースを修正して10025番/tcpに新たにsmtp_port_tというラベルを追加して、ポリシーを再構築する必要がありました。CentOS 5からは、そのような作業をこのメニューから、ポリシーの再構築をする必要なく動的に行うことができます。

図15 Network Port画面

●Policy Module

 このメニューで、モジュールとしてコンパイルされている各アプリケーションのポリシーを個別にロード/アンロードすることができます。このポリシーのモジュール化が、SELinuxとしては大きく変わった部分になります。

図16 Policy Module画面

 次回は、今回紹介しきれなかったCentOS 5でドメイン分けされているサービスを見ていきます。また、実際にCentOS 5でのポリシーの作成方法を、監視の際に使用したNagiosプラグ引用のポリシー作成を例にして見ていきましょう。

3/3
 

Index
トラブルシューティングはCentOS 5におまかせ
  Page1
CentOS 5でのSELinux――RHEL 5との違いは?
GUIツール、SELinuxトラブルシューターを試してみる
  Page2
早速、トラブルシューティングしてみよう
Page3
SELinux Managerを試してみる


Profile
面 和毅(おも かずき)

サイオステクノロジー株式会社
OSSテクノロジーセンター
開発支援グループ
グループマネージャー


学生時代よりUNIXに親しむ。1997年からサーバ構築およびセキュリティ全般を扱う仕事に従事、Linuxを使い始める。

現在はLIDSの普及活動に注力。LIDSユーザ会(LIDS-JP)の立ち上げやLIDS関連文書の日本語化、LIDSを用いたシステム構築の紹介などを行っている。また、サイオステクノロジーでビジネス面でのLIDSの普及活動に注力している。

2005年12月より、LIDS Teamに参加し、LIDSの公式な開発チームの一員として活動している。

スイッチ・オン! SELinux 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間