heavyhandの実験室

この文書は読取専用です。文書のソースを閲覧することは可能ですが、変更はできません。もし変更したい場合は管理者に連絡してください。

====== Linux:SELinux:TE(Type Enforcement) ======
  * プロセスからリソースへのアクセス権限を制御する機能。
  * プロセスやリソースへのアクセス権を最小限にすることにより攻撃者からの被害を最小限に抑える。

===== 構成 =====

==== ラベル ====
  * プロセスとそのプロセスが利用するリソースにラベルを割り当てる。

=== ドメイン ===
  * プロセスに割り当てられたラベルを**ドメイン**という。

=== タイプ ===
  * リソースに割り当てられたラベルを**タイプ**という。

==== アクセス・ベクタ ====
  * リソースに対して行える操作の種類
  * 各リソースはファイルやディレクトリ、ソケット等オブジェクトタイプごとにアクセス・ベクタが割り当てられる

===== ドメイン =====
==== ドメインの確認 ====
  * 実行中のプロセスに割り当てられたドメインを表示するには、ps コマンドに「Z」オプションを使用する。
  * 下の「**init_t**」 「**kernel_t**」がドメイン。
<code>
> ps -eZ
LABEL                             PID TTY          TIME CMD
system_u:system_r:init_t            1 ?        00:00:01 init
system_u:system_r:kernel_t          2 ?        00:00:00 migration/0
   :
   : 
</code>

===== タイプ =====
==== タイプの確認 ====
  * リソースに割り当てられたタイプを表示するには、ls コマンドに「Z」オプションを使用する。
  * 下の「**httpd_sys_content_t**」 がタイプ。

<code>
>ls -ilZ /var/www/html
-rw-r--r--  root root user_u:object_r:httpd_sys_content_t index.php</code>

heavyhandの実験室

ユーザ用ツール

サイト用ツール

ページ用ツール