LinuCレベル3 303試験の例題と解説

327.2強制アクセス制御

今回は303試験の試験範囲から「327.2 強制アクセス制御」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

<327.2 強制アクセス制御>
重要度 4

<説明>
SELinux全般の知識があること。

<主要な知識範囲>
・SELinuxの設定
・TE、RBAC、MAC、およびDACの概念と使用方法

<重要なファイル、用語、ユーティリティ>
・fixfiles/setfiles
・newrole
・setenforce/getenforce
・selinuxenabled
・semanage
・sestatus
・/etc/selinux/
・/etc/selinux.d/

■例題
semanageコマンドの説明として間違っているものを選びなさい。

1. ファイルのタイプを変更する
2. ファイルのタイプ変更を削除する
3. ポート番号のポートを変更する
4. ポリシーを変更する

※この例題は実際のLinuC試験とは異なります。


解答と解説

答えは4. ポリシーを変更する です。

SELinuxの基本的な活用方法は、あらかじめ用意されたポリシーをベースに、ファイルにタイプを設定し、プロセスからのアクセスを許可していくことになります。ファイルのタイプ設定はchconコマンドでも実行できますが、より確実にタイプ変更を行うのであれば、semanageコマンドを使ってfile_contextsファイルを書き換える必要があります。もちろん、semanageコマンドを利用して、file_contextsファイルに追加したタイプ設定を削除することもできます。

SELinuxは、ファイルへのアクセスだけでなく、ネットワークのポート番号の利用も制御できます。このポートへのアクセス制御も、semanageコマンドを使って設定が行えます。サーバーのLISTENポートを変更したい場合には、この設定が必要になります。

ポリシーの変更を行うには、/etc/selinux/configのSELINUXTYPEの設定を変更する必要があります。

○/etc/selinux/configの例
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#   enforcing - SELinux security policy is enforced.
#   permissive - SELinux prints warnings instead of enforcing.
#   disabled - SELinux is fully disabled.
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
#   targeted - Only targeted network daemons are protected.
#   strict - Full SELinux protection.
SELINUXTYPE=targeted

SELinuxの有効無効を設定するのはSELINUXで、ポリシーの選択はSELINUXTYPEなので、間違えないようにしましょう。

ページトップへ