SELinux への誤解

<< 戻る   トップ >>

Fedora 14 導入は11月12日から模擬構築、22日から本構築にとりかかり、昨日で構築完了した。単なる移築だけではなく、DNSサーバ兼務・自動バックアップ構築・SELinux 導入も行ったため比較的長期に渡るシステム作業となった。この手の作業をするとややヒートアップして意識が「あちらの世界」に行ってしまう。いろいろ不都合なのでクールダウンしたい。

DNS設定はそれほど難しくはないし、cron だって20年のギャップを埋めるのはそれほど難しくなかった。てこずったのは SELinux である。しかもその苦労をしている最中に「本当にセキュアなのか?」との疑問を抱きっぱなしだった。

SELinux の利点としてしばしば喧伝されるのが「root 権限を奪われても大丈夫」である。正確には「大丈夫」ではなく、「被害を局限できるのでマシ」ということなのだ。しかし、root ならば、様々な SELinux の権限の与奪も可能だし、一時的に SELinux を無効にすることもできれば、次回起動時から使用しないように設定することもできるのだ。果たして本当に効果があるのか?

「root 権限を奪われる」というと、ついついパスワードが漏れてログインされるという激しく間抜けな状況を想定してしまうが、SELinux の想定はそこにはない。ウェブなどのネットワークサービスのセキュリティホールが対象だ。例えばウェブサーバ越しに奪われた root 権限をそれと認識して、ウェブに関連しない資源 (ファイルやプロセス) に対する権限を与えなければ、被害局限ができるのである。SELinux はたしかにセキュアなのだ。

SELinux 運用の苦労の対価を確認したところで、OS 更新作業はお開き。しばしシステムはいじらずに、その後「鴨乃嘴南蛮」開発環境を復旧しようと思う。


作成: 2010-12-06 10:17:01.0更新: 2010-12-06 10:17:01.0
http://museo-anonimo.jp/nanban/?id=950,http://museo-anonimo.jp/nanban/tr/950