SELinux : ポリシータイプの設定2016/07/26

SELinux が Enforcing/Permissive で動作している場合、どのポリシータイプを適用するかを設定することができます。設定したポリシータイプをベースに、必要に応じて、個別に要/不要なポリシーを追加/変更/削除して、カスタマイズ設定します。

ポリシータイプは /etc/selinux/config 設定ファイルで設定変更可能です。
CentOS 7 のデフォルトは「targeted」ポリシーです。

ただし、ポリシータイプを変更する場合、ポリシーファイルがインストールされている必要があります。 CentOS 7 最小構成の場合、デフォルトでは「targeted」ポリシーのみがインストールされています。

インストールされてないポリシータイプを指定すると、システムが起動しなくなるため注意が必要です。

[1]

ポリシータイプは「SELINUXTYPE=***」で設定します。

# デフォルトは「targeted」ポリシー

[root@dlp ~]#

cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

# 例として「minimum」ポリシーに変更

# 事前にポリシーファイルをインストール

[root@dlp ~]#

yum -y install selinux-policy-minimum

# ポリシーファイルが「minimum」ディレクトリ配下にインストールされる

[root@dlp ~]#

ll /etc/selinux

total 24
-rw-r--r--. 1 root root  458 Jul 27 16:17 config
drwxr-xr-x. 6 root root 4096 Jul 27 17:36 minimum
-rw-r--r--. 1 root root  113 May 11 07:57 restorecond.conf
-rw-r--r--. 1 root root   76 May 11 07:57 restorecond_user.conf
-rw-r--r--. 1 root root 2271 Jul 24  2015 semanage.conf
drwxr-xr-x. 6 root root 4096 Jul 27 16:19 targeted

[root@dlp ~]#

vi /etc/selinux/config

#「SELINUXTYPE」変更

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.

SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=minimum

# 変更後はシステム再起動

[root@dlp ~]#

reboot

[root@dlp ~]#

sestatus

SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        minimum     # 変更された

[3]

設定ファイル中に例示してある通り、パッケージとして提供されているポリシーは以下の三種類です。

ポリシー	説明
Targeted	システム上で攻撃対象となる可能性の高いプロセスに対してアクセス制御を適用するポリシー (デフォルト)。
Minimum	ポリシーファイル構成は Targeted と全く同じだが、アクセス制御が適用されるプロセスは最小限に絞られている。
MLS	Multilevel Security ポリシー。Bell–LaPadula (BLP) モデルを実装し、より細かなアクセス制御が適用可能。