SELinux RBAC (Role Based Access Control)

/ .trash / Comment[0]
RBACとはロールと呼ばれるいくつかのドメインを束ねたものを設定し、それをユーザに付与する仕組み。各ユーザ毎に細かく権限を付与、制限することが可能である。

SELinuxでは、サブジェクトはDAC、RBAC,TEの3つの防壁を通過しなければ目的のオブジェクトに到達できない。

RBACTEと連動して強制アクセス制御を実現する。

RBACの機能
 あらかじめ、ドメインに利用許可を与える
 各ユーザに指定したロールのみ利用を許可する
 許容範囲であればロールの切り替えができる


roleポリシーでロールにドメイン利用許可を定義
 sysadm_rロールにcronjob_tドメインの利用を許可
 role sysadm_r type cronjob_t
 sysadm_rロールでcronを実行するとcronjob_tドメインに遷移することが可能になる。


userポリシーでユーザに利用を許可するロールを割り当てる
 user phantom roles { sysadm_r staff_r };
 ユーザphantomがsysadm_rとstaff_rが使用可能になる。


利用を許可するロールを割り当てたところで次はロールの切り替えを定義
 allow staff_r sysadm_r
 staff_rからsysadm_rにロールを切り替えることが可能になる。
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可