SELinux

SELinux †

NSA(米国国家安全保障局)が開発したLinuxのセキュリティを向上させる為の拡張機能(セキュアOSを実装する機能)。
名前にLinuxと付いているため勘違いしやすいが、Distributionではなく単なるモジュールである。

元々軍用に開発されているため、設定書式が超絶難解であり、ほとんどのLinux解説サイトで無効にすることを推奨されてしまっている。

しかし、日立が簡易設定ツールであるSELinux Policy Editor(seedit)を公開する等、徐々に使いやすい環境が整備されてきている。

SELinux Policy Editor公式サイト

SELinux以外の代表的なセキュアOSとしては以下の実装が存在する。

• AppArmor
• TOMOYO Linux
• LIDS

2010年11月現在、kernelにマージされているのはSELinuxとAppArmorのみ。

SELinuxのポリシー †

SELinuxでは制限の厳しさに応じて複数のポリシーが用意されています。

• strict(標準)
  • 全ユーザー、全プロセスの動作を厳格に管理し、事前に許可されていない動作を全て拒絶する。
• targeted(strictより制限が緩い)
  • Webやmail等、脆弱性が存在する可能性が高いサービスやデーモンに限り制限する。それ以外は制限しない
• mls(strictよりさらに厳しい。軍事レベル)
  • strictに加え、重要度に応じた階層構造による制限を追加する。

標準でどのポリシーで動作しているかはDistributionにより異なるようです。
現在どのポリシーで動作しているか確認する場合は「sestatus」コマンドで確認できます。

ちなみにmlsに関しては、ほとんどの人はそこまでのセキュリティは不要だと思われますし、
最悪の場合ローカルログインすらできない状態に陥る可能性もありますので、自信が無い方は手を出さない方が無難です。

SELinuxの動作モード †

SELinuxには動作モードとして以下の3パターンが存在します。

• enforcing
• permissive
• disabled

enforcingは実際にSELinuxによる制限が行われている状態
permissiveはSELinuxが動作しているが、実際の制限は行わず、動作ログを出力するだけの状態
disabledがSELinuxそのものを無効にしている状態

enforcing以外のモードでは動作制限を行わないので、permissiveモードで一定期間の動作ログを収集し、
それに基づいてポリシーを作成、enforcingモードに切り替えて実運用開始といった流れになります。

なお、ログ出力にはauditdが必要になりますので、SELinux使用予定でauditdが起動していない方は起動しておいてください。

# /etc/init.d/auditd start
# chkconfig auditd on

実際の使用方法 †

以下はCentOS 5.5での話です。

SELinuxを有効にする †

# setenforce 1

※上記コマンドは動作モードを一時的に変更するだけなので、永続的に変更を適用する場合は以下のファイルを編集します。

• /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=permissive
　↓
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=enforcing   # 変更

SELinuxを無効(permissiveモード)にする †

# setenforce 0

※上記コマンドは動作モードを一時的に変更するだけなので、永続的に変更を適用する場合は以下のファイルを編集します。

• /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=enforcing
　↓
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=permissive  # 変更

SELinuxを完全に無効にする場合はSELinux=disabledにする

ファイル、ディレクトリに設定されているセキュリティコンテキストを表示する †

# ls -Z <セキュリティコンテキストを表示するファイル/ディレクトリ>

• 実行例

# ls -Z /var/log/messages

-rw-------  root root system_u:object_r:var_log_t:s0   /var/log/messages

ファイルに設定されているセキュリティコンテキストの一覧を表示する †

# semanage fcontext -l

• 実行例

# semanage fcontext -l

SELinux fcontext                                   type               Context

/.*                                                       all files               system_u:object_r:default_t:s0 
/xen(/.*)?                                            all files               system_u:object_r:xen_image_t:s0 
/mnt(/[^/]*)                                        symbolic link     system_u:object_r:mnt_t:s0 
/mnt(/[^/]*)?                                      directory            system_u:o
---
長いので以下省略

セキュリティコンテキスト設定の追加 †

# semanage fcontext -a -t <追加するセキュリティコンテキストタイプ> '<適用するファイル/ディレクトリ(正規表現可)>'

• 実行例

# semanage fcontext -a -t httpd_sys_script_rw_t '/var/www/wiki/(attach|backup|cache|diff|wiki)(/.*)?'

正常に終了した場合、画面には何も表示されない

ちなみにこのコマンドだけでは実際に設定が適用されないので、後述するrestoreconコマンドを実行する必要がある

※ 実行例のコマンドの意味

以下のディレクトリ配下にapacheがファイルを作成/削除する権限を付与する。
また、今後作成されるファイルに対してもapacheが作成/削除する権限を付与する。

• /var/www/wiki/attach
• /var/www/wiki/backup
• /var/www/wiki/cache
• /var/www/wiki/diff
• /var/www/wiki/wiki

設定済みのセキュリティコンテキストを読み込み、自動的に設定しなおす †

# restorecon -RF '<ラベルを設定しなおすフォルダのパス>'

• 実行例

# restorecon -RF '/var/www/wiki'

正常に終了した場合、画面には何も表示されない

※ 実行例のコマンドの意味

/var/www/wiki(このディレクトリも含む)配下に存在するファイル/ディレクトリのセキュリティコンテキストを設定しなおす
オプションで-Rを付けると再帰的な設定変更を、-Fを付けると強制的な設定変更を行う

セキュリティコンテキスト設定の削除 †

# semanage fcontext -d -t <削除するセキュリティコンテキストタイプ> '<適用するファイル/ディレクトリ(正規表現可)>'

正常に終了した場合、画面には何も表示されない

※現在の設定はsemanage fcontext -lで表示される

boolean値の一覧表示 †

# getsebool -a

• 実行例

# getsebool -a

NetworkManager_disable_trans --> off
aisexec_disable_trans --> off
allow_console_login --> off
---
長いので以下省略

※ boolean値とは
標準で設定されているセキュリティコンテキストのテンプレートみたいなもの
例えばsambaが各ユーザーのホームディレクトリにアクセスするためには以下のコマンドを実行すれば自動的にセキュリティコンテキストを設定してアクセス可能にしてくれる
細かい設定が不要なので便利といえば便利だが、厳密に設定したい場合にはむかない

# setsebool -P samba_enable_home_dirs on

boolean値の設定変更 †

# setsebool -P <変更するboolean値> <on|off>

• 実行例

# setsebool -P httpd_can_network_connect on

※ 実行例のコマンドの意味

apacheがネットワーク経由で別なサイト等からデータを取得する動作を許可する。
(厳密に言えばtcp socketの生成を許可)
オプションで-Pを付けない場合は再起動後に設定が元に戻ってしまうので、一時的に許可したい場合以外は付けること

SELinuxのアクセス拒否ログを表示する †

# ausearch -m AVC

※ /var/log/audit/audit.logを読み込み、SELinuxに関係するログだけを抽出して出力している