321.3 SELinux

2021-06-21

321.3 SELinux

重要度 6
説明 SELinux全般の知識があること。
主要な知識範囲

  • SELinuxの設定
  • TE、RBAC、MAC、およびDACの概念と使用方法

重要なファイル、用語、ユーティリティ

  • fixfiles/setfiles
  • newrole
  • setenforce/getenforce
  • selinuxenabled
  • semanage
  • sestatus
  • /etc/selinux/
  • /etc/selinux.d/

SELinux

SELinux(Security-Enhanced Linux)は、アメリカ国家安全保障局がGPL下で提供しているLinuxのカーネルに強制アクセス制御 (MAC)機能を付加するモジュールの名称。
Linuxカーネル2.6で正式にサポートされました

SELinuxなどのセキュアなOSが登場する以前は、DAC(任意アクセス制御)方式のアクセス制御が一般的でした。
DAC方式は、ファイルやディレクトリなどのオブジェクト操作は、そのオブジェクトの所有者にアクセス制御を任せる方式です。
但し、rootユーザーは絶対的な権限が持っていました。
そのため、悪意ある第三者にrootユーザーの権限を奪われると、そのシステム全てに影響がありました。
SELinuxでは、rootユーザーの持っている権限を複数のユーザーやプロセスに細かく分けて、それぞれにセキュリティポリシーをせっていしました。
それぞれのユーザーやプロセスが必要最低限の権限しか持っていないため、ユーザーやプロセスが乗っ取られても、システムへの影響が最小限に抑えることができます

SELinuxでは以下の様な機能があります

MAC
SELinixでは、MAC(Mandatory access control)というアクセス制御方式が採用されています
この方式では、セキュリティポリシーで適用されたとおりにアクセス権が付与されます。
ファイルやディレクトリの所有者や、rootユーザーであってもそのポリシーで決められたことしかできません。
MACはネットワークのソケットやプロセスにも適用されます

TE
TE(Type Enforcement)とは、プロセスのリソースに対するアクセス権を割り当てる機能です
・プロセスに対して「ドメイン」と呼ばれるラベルを付与します
・ファイルやディレクトリ、ソケットなどのリソースに対して「ラベル」と呼ばれるラベルを付与します
・リソースには、「アクセスベクタ」と呼ばれる(読み・書き・実行などの)操作権限を付与します
これらの用いて「どのプロセスが、どのリソースに対して、どのような操作ができるか」を設定することでアクセスの制御します

RBAC
RBAC(Role Base Access Control)は、ユーザーのアクセス権を制御する機構です
RBACは「システム管理者」「メール管理者」のようなロールと呼ばれる役割ごとにアクセス権を設定し、これをユーザーに付与することでアクセス制御します

ドメイン遷移
TEで説明したとおり、プロセスには「ドメイン」というラベルを付与します。
親プロセスから子プロセスを呼び出して実行するような処理の場合、親プロセスと同じ権限を子プロセスに付与するのではなく、最小限の権限で子プロセスを実行したい場合があります。
ドメイン遷移を使用すると、子プロセスに対する権限の制限を可能となります

Pseudoファイルシステム

Pseudoファイルシステムは擬似ファイルシステムとも呼ばれ、カーネルの特殊な情報にアクセスするための仮想的なファイルシステムのことを言います
例えば、システムのプロセス情報が格納されている /proc も Pseudoファイルの一つです
SELinuxのPseudoファイルシステムは、/selinux です

chsid・chcon コマンド

ファイルのセキュリティコンテキスト(現在有効なセキュリティに関する属性)を変更するためのコマンドですが、バージョンの古いSELinuxで使用されていました
現在はこのchsidに置き換わるコマンドして、chcon コマンドが有ります

書式
chcon [] コンテキスト ファイル
chcon [] [-u ユーザー] [-r ロール] [-l カテゴリ] [-t タイプ] ファイル
[]は省略可能

newrole コマンド

newrole コマンドは、SELinuxのコマンドで、シェルを新しいロールで実行するコマンドです

書式
newrole [-r または –role] ロール [– [引数]]
newrole [-t または –type] タイプ [– [引数]]
newrole [-r または –role] ロール [-t または –type] タイプ [– [引数]]
[]は省略可能


・sysadm_r ロールを変更してシェルを起動する

# newrole -r sysadm_r

setenfoece

setenfoeceコマンドは、実行中のSELinuxモードを変更するコマンドです

書式
setenfoece モード

モード

0 または permissive permissiveモードに変更する。
セキュリティポリシーに違反するアクセスがあった場合はログに記録されるがアクセスは許可する
1 または enforcing enforcingモードに変更する
セキュリティポリシーに違反するアクセスを拒否する。アクセスされたことはログに記録される

getenforce

getenforceは、SELinuxの動作状況を表示するコマンドです

書式
setenfoece

getenforceコマンドの返り値

Enforcing SELinux機能、アクセス制御が有効
Permissive SElinuxは警告を出力するが、アクセス制限は無効
disabled アクセス制御(SELinux)が無効

sestatus

sestatusは、SELinuxの現在の状態と設定ファイルの状態も出力するコマンドです

$ sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted

セキュリティコンテキスト

セキュリティコンテキストとは、プロセスやリソースなどのセキュリティに関する属性のことです
セキュリティコンテキストは次のようにユーザー識別子、ロール識別子、タイプ識別子、MISで構成されます

セキュリティコンテキストの項目
主なオプション

ユーザー識別子 オブジェクトに結び付けるSELinuxのユーザーを指定。次のようなユーザーを指定
root システム管理用ユーザー
system_u プロセスやオブジェクトを使用するユーザー
user_u 一般ユーザー
ロール識別子 ユーザーを割り当てるロールを指定。次のようなロールを指定
object_r ファイルなどに付与されるロール
staff_r 一般ユーザーが使用するロール。sysadm_rに変更可能
sysadm_r システム管理者が使用するロール
system_r プロセスが使用するロール
user_r 一般ユーザーが使用するロール。sysadm_rに変更可能
タイプ識別子 アクセスを制御するタイプを指定。数百種類のタイプがあり、例えるなら次のようなタイプを指定可能
sshd_t SSH接続時に使用するタイプ
sysadm_t システム管理者が使用するタイプ
MIS MLS(Multi Category Security:情報の機密性)を指定。
リソースに付与されたカテゴリとレベルを比較して、アクセスを制御する。
例えば、自分より役割が上の社員の情報を閲覧できないが、役職が同じ、または下位の社員の情報は閲覧可能と行った制御が可能
ディストリビューションによっては、この項目が存在しない


・SSHプロセスのセキュリティコンテキストを表示

$ ps axZ | grep ssh
system_u:system_r:sshd_t:SystemLow-SystemHigh 2186 ? Ss 0:00 /usr/sbin/sshd
system_u:system_r:sshd_t:SystemLow-SystemHigh 2423 ? Ss 0:00 sshd: ishikawa [priv]

・ファイルのセキュリティコンテキストを表示

$ ls -laZ ~/.ssh/
drwx------. hoge hoge_grp system_u:object_r:ssh_home_t:s0 .
drwxr-x---. hoge hoge_grp system_u:object_r:user_home_dir_t:s0 ..
-rw-------. hoge hoge_grp system_u:object_r:ssh_home_t:s0 authorized_keys
-rw-r--r--. hoge hoge_grp system_u:object_r:ssh_home_t:s0 config
-rw-------. hoge hoge_grp system_u:object_r:ssh_home_t:s0 id_rsa
-rw-r--r--. hoge hoge_grp system_u:object_r:ssh_home_t:s0 id_rsa.pub
-rw-r--r--. hoge hoge_grp system_u:object_r:ssh_home_t:s0 known_hosts

・システムに設定されているファイルとタイプの関連付けを表示(file_contextsの内容を表示)

$ view file_contexts.homedirs
# file_contexts.homedirs一部抜粋
/home/[^/]* -d user_u:object_r:user_home_dir_t
/home/[^/]*/.+ user_u:object_r:user_home_t

スポンサーリンク

0
0

LPIC 30xLPIC303

Posted by admin