F7のSELinux
ようやくFedora 7を触り始める。
SELinux的な変更点を列挙してみる。
以下の多くは、Fedora Core6にも、途中からアップデートで入っていたりするので、
ある意味「変更点」とは言えないのだが。
setroubleshootのデフォルト搭載
GUIは起動しない(汗
ログインのたびにsetroubleshoot(sealert)のエラーが出てきてうざい。これが嫌でSELinuxをきる人がいそうで怖い。
バグも報告されてるようだが、Rawhideの使えといわれてるっぽい。
setroubleshootのコマンドライン版の使い方
sealert -a /var/log/audit.log
でとりあえず、コマンドライン版は使える
disable_trans booleanの廃止(F7のみ)
httpd_disable_transなどのbooleanが廃止された。
たぶん、semodule -r
httpdなどはbaseパッケージに入ってるのでoffにできないなぁ。
secmark(F7のみ)
/lib/iptables/libipt_SECMARK.so
など、SECMARKの要素も今回はデフォルト搭載。
遊んでみたい人は、
http://securityblog.org/brindle/2007/05/28/secure-networking-with-selinux/
audit2allowがsepolgenに置き換え
sepolgen(別名Madison)と呼ばれるものをKarl MacMillanが作っていたが、
audit2allowがsepolgenを使って書き換えられている。
selinux-policy-develを入れると、refpolicyを使った設定を提示してくれる。
audit2allow -Ra
などとすると、refpolicyのマクロが提示される。
以前のaudit2allowも、refpolicyのマクロ提示があったが、全然駄目だった。今回はだいぶ賢くなった気がする。
まぁ、そんなに大きな変更はないか。
最大の変更は、disable_trans booleanの廃止かも。
これまで、私とか、
「SELinux全部OFFにするぐらいなら、disable_trans booleanで、部分的にOFFにしてでも使いましょう」
みたいに言ってきたが、逃げ道が無くなった(汗
あとは、なにげにsetroubleshootの活用が重要な気がする。
執筆記事、講演
日経Linux 2007年8月号
- ようやく実用期が到来! セキュアOS再入門(第5回)SELinux Policy Editor
種IT記事です。よろしくお願いします。
と思ったら、
基礎から始めるLinuxセキュリティ(第5回)
SELinuxを使ったアクセス制御(その2)
という別の方の記事があって、その中でも種ITの概要があった!!
ThinkIT
SUSE LinuxのセキュアOS「AppArmor」の概要 AppArmor vs SELinuxの明日はどっちだ
http://www.thinkit.co.jp/free/article/0706/25/
「SELinuxユーザ会2007年夏の勉強会〜日本コミュニティ発!セキュアOS開発」
資料:http://www.selinux.gr.jp/documents/20070704/SELinux_User_sebusybox_2007.pdf