SELinuxに関してお勉強(CISSPのついで)
2018/1ぐらいまでをターゲットに、CISSPの勉強をしてます。ドメイン5でRBAC(ロールベースアクセス制御)が出て来たときに、「よくSELinuxとセットで語られますよ〜」と言われて、「あ、SELinuxって概要すらわかんね」って思ったので、さわりだけチェックしました。
やはりまずはwiki
https://ja.wikipedia.org/wiki/Security-Enhanced_Linux
・Linuxのディストリビューションではなく、モジュールである
→へー
・アクセス制限は、ファイルではなく、プロセスごとにアクセス制限をかけるTE(Type Enforcement)という機能を併用している
→へー
・日本における利用実績は少ない
→海外は多いの?もしくは、「ロサンゼルスでは〜」みたいな欧米帰りな感じ?
・SELinuxを無効化することが通常
→過剰防衛なのか、時代が追いついてないのかってことですね
おおむねニュアンスはわかりました。
この辺りで、使い方が載っています。
要するに、centであれば、yumで入れて、モードをdisableからログだけモードか制御付きモードに切り替えて、あとは設定って感じですね。すると、例えばあるプロセスが乗っ取られても、よその権限を持つプロセスにはアクセスできなくなると、そういう感じですかね。たしかに設定は面倒そうです。
他には、「SELinuxやってる場合か!まず普通の設定をまともにできるようになれ!」っていう向きもあると思っていて、やはりまだそんなレベルじゃないのかもしれないですね。
てか、setenforce 0でdisableに出来るのであれば、乗っ取られたときに、setenforceはなんとしても守らないといけないですね。尤も、攻撃側としてはroot昇格ならぬ、setenforce奪取が一つの争点となるんでしょう。
結局、当初の目的の、肝心のRBAC(ロールベースアクセス制御)がまだわかっていないのでした。