LinuCレベル3 303試験の例題と解説
327.2強制アクセス制御
■トピックの概要
このトピックの内容は以下の通りです。
<327.2 強制アクセス制御>
重要度 4
<説明>
SELinux全般の知識があること。
<主要な知識範囲>
・SELinuxの設定
・TE、RBAC、MAC、およびDACの概念と使用方法
<重要なファイル、用語、ユーティリティ>
・fixfiles/setfiles
・newrole
・setenforce/getenforce
・selinuxenabled
・semanage
・sestatus
・/etc/selinux/
・/etc/selinux.d/
■例題
semanageコマンドの説明として間違っているものを選びなさい。
1. ファイルのタイプを変更する
2. ファイルのタイプ変更を削除する
3. ポート番号のポートを変更する
4. ポリシーを変更する
※この例題は実際のLinuC試験とは異なります。
解答と解説
答えは4. ポリシーを変更する です。
SELinuxの基本的な活用方法は、あらかじめ用意されたポリシーをベースに、ファイルにタイプを設定し、プロセスからのアクセスを許可していくことになります。ファイルのタイプ設定はchconコマンドでも実行できますが、より確実にタイプ変更を行うのであれば、semanageコマンドを使ってfile_contextsファイルを書き換える必要があります。もちろん、semanageコマンドを利用して、file_contextsファイルに追加したタイプ設定を削除することもできます。
SELinuxは、ファイルへのアクセスだけでなく、ネットワークのポート番号の利用も制御できます。このポートへのアクセス制御も、semanageコマンドを使って設定が行えます。サーバーのLISTENポートを変更したい場合には、この設定が必要になります。
ポリシーの変更を行うには、/etc/selinux/configのSELINUXTYPEの設定を変更する必要があります。
○/etc/selinux/configの例
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=targeted
SELinuxの有効無効を設定するのはSELINUXで、ポリシーの選択はSELINUXTYPEなので、間違えないようにしましょう。