SELinux セキュリティコンテキスト

/ .trash / Comment[0]
サブジェクト(物事,処理)とオブジェクト(物体)にセキュリティ属性というラベル情報をつけ、セキュリティコンテキストに基づいてアクセス可否を判定する。

以下の3つの属性を組み合わせたものを
セキュリティコンテキストという

 ユーザ属性
  サブジェクト,オブジェクトに結びつけるSELinuxのユーザID

 ロール属性
  アカウントのようなもの 違うけど。ユーザに対するアクセス権を定義されている。

 タイプ属性
  アクセス可否判定に利用するセキュリティ属性
   ・サブジェクトに付与:ドメイン属性
   ・オブジェクトに付与:タイプ属性


命名規則
 ユーザ属性 ユーザ名_u
 ロール属性 ロール名_r
 タイプ属性 タイプ名_t,ドメイン名_t


セキュリティコンテキストはテーブルに格納される。
システムの初期時にテーブルのそれぞれにセキュリティID(初期SID)が付与され、アクセス可否判定はこのSIDを基に行なう。

基本、全てのオブジェクトとサブジェクトにセキュリティコンテキストを割り当てなければならない。
ロールが不要なオブジェクトにはダミーロールobject_rが付与される。


まとめ
ユーザ属性,ロール属性,タイプ属性 3つ合わせてセキュリティコンテキスト
・セキュリティコンテキストはテーブルとして格納され、SIDが割り振られる
・システム初期化時に割り振られるSIDは初期SIDという
・サブジェクトに付与される属性がドメイン属性、オブジェクトに付与される属性がタイプ属性
・ロールが不要なオブジェクトにはダミーのロールobject_rを割り振る
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可