目覚めよ! SELinux
SELinux Policy EditorでSELinuxを簡単に
中村 雄一
日立ソフトウェアエンジニアリング株式会社
技術開発本部 研究部 技師
2006/12/8
裏方に徹するSEEditの働き
SEEditの動作を見たところで、一体どんな仕組みで簡略化を実現しているのかを見てみましょう。図8が、SEEditの構成図です。最も中核となるのが、「単純化ポリシー」という独自のポリシー・ファイルです。単純化ポリシーは、/etc/seedit/policy以下の「.sp」という拡張子のファイルに格納されています。単純化ポリシーの記述書式として、SPDLが採用されています。SPDLは、先ほど出てきた、 「allow /var/www/html/pukiwiki/diff/* r,w,s;」といったような書式です。
SPDLでは、パーミッションの絞り込みおよびラベルの隠ぺいにより、SELinuxの複雑な設定書式を意識させないようになっています。これが、SPDLコンパイラ(実体はseedit-loadコマンド)により、SELinuxのポリシーに変換されます。変換後のポリシーは「/etc/selinux/seedit」以下に格納されます。より簡単に設定が行えるように、先ほど紹介したようなGUIやコマンドラインツールも用意されています。
 |
| 図8 SEEditの構成 |
単純化ポリシーで、SELinuxの複雑さを隠ぺいしているわけですが、一体どのようにして、これがSELinuxのポリシーに変換されるのでしょうか。図5で「セーブし、設定を適用」ボタンを押したときに内部で行われている処理を、図9に示しました。処理の詳細は、ユーザーが知る必要はないので、細かい説明は省略しますが、いかに面倒な処理を肩代わりしてくれているかが分かるでしょう。
 |
| 図9 「設定を反映」ボタンを押したときに、こんな処理が行われている (画像をクリックすると拡大します) |
ドメインの新規作成も簡単
「ステータス」ツールで、「unconfined」と表示されているプロセスを安全に動かすためには、ドメインを新規作成しなければなりませんが、「ドメインの管理」を使えば、簡単に設定できます。
図10は、vsftpdにドメインを付与する設定をしている画面です。「ブラウズ」ボタンで、実行ファイル名を指定します。すると、ドメインも自動的に命名されます。あとは、「デーモンプログラムですか?」などの質問事項に答えて「テンプレートを作成」ボタンを押すと、下半分に最低限の設定が提示されます。「セーブし設定を適用」ボタンを押し、vsftpdを再起動すれば、vsftpdはvsftpd_tドメインで動作するようになります。足りない設定については、Permissiveモードでvsftpdをテスト動作させ、「ポリシーの生成」によって生成することができます。
 |
| 図10 ドメインの新規作成画面 |
あなたのフィードバックが明日のSEEditを作ります
今回は、SEEditの簡単な使い方を紹介しました。詳しい操作については、マニュアルが参考になるでしょう。
今後の開発の方向性としては、2つの方向性があります。1つは、実装の洗練です。Fedora Coreなどへのディストリビューションに提案すべく、実装を見直しています。もう1つは、新機能の開発です。組み込みLinuxに特化した設定機能や、単純化ポリシーとリファレンスポリシーが共存できる機能などを検討しています。
SEEditは、現在も活発に開発が進められています。開発は日立ソフトだけで行われているように思われがちですが、アイデアさえあれば、誰でも開発プロジェクトに参加可能です。海外の方も参加しています。また、ユーザーからのフィードバックも募集しています。質問がありましたら、ぜひ気軽にお問い合わせください。
 |
3/3 |
| Index | |
| SELinux Policy EditorでSELinuxを簡単に | |
| Page1 あなたのLinuxの中にもSELinuxは眠っている SEEditとは まずはSEEditのインストール SEEditはGUIで直感的に理解可能 |
|
| Page2 SELinuxを簡単に操れるSEEditの威力 |
|
 |
Page3 裏方に徹するSEEditの働き ドメインの新規作成も簡単 あなたのフィードバックが明日のSEEditを作ります |
| Profile |
| 中村 雄一(なかむら ゆういち) 日立ソフトウェアエンジニアリング株式会社 技術開発本部 研究部 技師 学生時代に情報処理の単位を落としたことがきっかけで、コンピュータに興味を持つ。 日立ソフトに入社後は,SELinux関連のの研究開発およびビジネス化支援に従事すると共に、SELinuxの普及活動にも注力。SELinux Policy Editorの主要開発者でもあり,これを武器にSELinuxのさらなる布教を企んでいる。 現在、ITmedia オルタナティブ・ブログにて「セキュアOS布教日記」 を執筆中。 |
| ●修正履歴 【2007/2/19】 新バージョンのリリースに伴い、「2006年12月現在の最新版はCent OS 4とFedora Core 6で動作するバージョン2.1β4となります」という表記を「2007年2月現在の最新版はCent OS 4とFedora Core 6で動作するバージョン2.1.0となります」と変更しました。 また、SEEditがFedora Core 6のExtrasに取り込まれたため、インストールの説明を修正しました。 |
| 関連記事 | |
| 連載:SELinuxの最新動向 | |
| 連載:セキュアOS「LIDS」入門 | |
| ITmedia エンタープライズ:SELinuxの現状:使いやすさの改善が進むSELinux | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
