Linuxのセキュリティモジュールについて

歴史とかをちょいと書いておく

SELinux(Security-Enhanced Linux)はよく聞くセキュリティモジュールであるが,2003年にはすでにLinuxのupstreamにマージされたものである. Linuxの機能であるためどのディストリでも動かすことが可能なはずではあるが,実はCentOS意外だと導入に段差があったりするらしい.(今はそんなことない?) 周知の通りCentOSではデフォルトで動いている. ところでubuntuやSUSEではデフォルトでAppArmorというセキュリティモジュールが動くようになっている.他にもいくつものセキュリティモジュールが世の中に存在して, 現在Linuxにマージされているのは AppArmor,Security-Enhanced Linux,SELinux,Smack,TOMOYO,LoadPin?,Yama? これらは全てモジュールとして実装されており,LSM(Linux Security Modules)の上で動作する.

https://www.redhat.com/ja/topics/linux/what-is-selinux https://selinuxproject.org/page/Main_Page https://wiki.archlinux.jp/index.php/AppArmor https://www.kernel.org/doc/html/v4.15/admin-guide/LSM/index.html https://ja.wikipedia.org/wiki/Linux_Security_Modules https://blog.mono0x.net/2011/06/25/

SELinux

全てのファイル及びプロセスにSELinuxコンテキストと呼ばれる情報をラベル付し,それも元にアクセス制御を行うものである.

(一部の)コンテキストの表示の例(-Zオプション)

$ ls -Z files1
-rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
### ユーザ(unconfined_u)、ロール(object_r)、タイプ(user_home_t)、レベル(s0)

$ ps -Ze | grep nginx
system_u:system_r:httpd_t:s0       1706 ?        00:00:00 nginx
system_u:system_r:httpd_t:s0       1707 ?        00:00:00 nginx
system_u:system_r:httpd_t:s0       1708 ?        00:00:00 nginx

httpサーバ構築から見るよくあるSELinuxトラブルシューティング