特集・コラム

メニュー

RHEL7/CentOS7で学ぶ!Linuxサーバー管理徹底入門 基礎編

基礎編 Vol8:SELinuxのセキュリティ管理機能(レッドハット中井氏)

投稿日時:2015/11/18 11:11

カテゴリ: RHEL7/CentOS7で学ぶ!Linuxサーバー管理徹底入門 基礎編

■はじめに

みなさん、こんにちは。このコラムでは、RHEL7/CentOS7のLinuxサーバー管理に役立つ情報をお届けします。今回は、SELinuxのセキュリティ管理機能を解説します。
SELinuxは、Linuxカーネルが提供するセキュリティ保護の仕組みで、強力なセキュリティ保護機能を提供する反面、SELinuxの設定が不適切なためにアプリケーションが動作しないという、トラブルの原因になることもあります。まずは、SELinuxの仕組みを理解して、適切な設定方法をマスターしていきましょう。

 

■SELinuxの仕組み

SELinuxは、Linux上で稼働するそれぞれのプロセスについて、アクセスを許可するリソースをカーネルレベルで制限します。これにより、アプリケーションが想定外の動作を行った際に、システムのセキュリティを保護することが可能になります。
たとえば、httpパッケージを導入してWebサーバーを構築した場合、Webサーバーで公開するファイルは、ディクレクトリー/var/wwwの下に保存する必要があります。これは、Webサーバーのデーモンプロセスは、これ以外のディレクトリーへのアクセスが禁止されているためです。仮にデーモンプロセスにセキュリティ脆弱性があり、外部から不正に操作された場合でも、これ以外のディレクトリーの内容を盗まれる危険性が低減されます(図1)。

 

columns08_figure01
図1 SELinuxの動作原理

 

リソースに対するアクセスの可否は、リソースに付与された「セキュリティコンテキスト」によって判断されます。ファイルやディレクトリーに対するセキュリティコンテキストは、lsコマンドの-Zオプションで確認することができます。

 


# ls -lZ /var/www/html
-rw-r--r--. apache apache unconfined_u:object_r:httpd_sys_content_t:s0 index.html

 

この例では、「unconfined_u:object_r:httpd_sys_content_t」の部分がセキュリティコンテキストで、前から順に、「ユーザー属性」「ロール属性」「タイプ属性」を表します。Webサーバーのデーモンプロセスは、これらの属性を持ったファイルへのアクセスが許可されていることになります。ディレクトリー/var/www/htmlの下に作成したファイルには、自動的に上記の属性が設定されるようになっていますので、通常は、ユーザー自身がセキュリティコンテキストを設定する必要はありません。

 

■セキュリティコンテキストの設定方法

先ほど、ユーザー自身がセキュリティコンテキストを設定する必要はないと言いましたが、例外的な場合もあります。たとえば、ホームディレクトリーで作成したHTMLファイルをmvコマンドで/var/www/htmlに移動した場合、上記の属性は設定されません。ホームディレクトリーで作成した際の属性が、そのまま引き継がれるためです。
このような際は、次のコマンドを実行すると、本来あるべきセキュリティコンテキストを再設定することができます。

 


# restorecon -r /var/www/html

 

もしくは、次のコマンドで、それぞれの属性を明示的に指定することも可能です。

 


# chcon -u unconfined_u -r object_r -t httpd_sys_content_t /var/www/html/index.html

 

また、アプリケーションが思うように動作せず、SELinuxの設定が原因かどうかを確かめたいという場合は、次のコマンドで、一時的にSELinuxを無効化することができます。

 


# setenforce 0
# getenforce
Permissive

 

2つ目のコマンドで「Permissive」と表示された場合は、一時的に無効化されています。再度、有効化する際は、次のコマンドを実行します。

 


# setenforce 1
# getenforce
Enforcing

 

2つ目のコマンドで「Enforcing」と表示されれば、正しく有効化されています。

 

■次回予告

「RHEL7/CentOS7で学ぶ!Linuxサーバー管理徹底入門」の「基礎編」は、今回が最後となります。
RHEL7/CentOS7の新機能を中心に解説をすすめてきましたが、RHEL7/CentOS7にも親しみがわいてきたのではないでしょうか。

次回からは、また新しいテーマでLinuxサーバー管理に役立つ情報をお届けしていく予定です。

バックナンバーはこちら

IT系のお仕事特集

お仕事のご紹介には、まずヒューマンリソシアへの登録が必要です。
ヒューマンリソシア人材派遣サイトの便利な機能 ・お気に入りの派遣求人のブックマーク ・登録会への予約 ・有給休暇の管理 ・WEB給与明細の確認 ・お気に入りの情報をメール受信
登録会の入力手続きをあらかじめおこなえます。

ヒューマンリソシア派遣サービスに 登録する 無料

ページトップへ戻る
ヒューマンリソシア派遣サービスに 登録する 無料
ページトップへ戻る