SELinux : ポリシータイプの設定2016/03/27

SELinux が Enforcing/Permissive で動作している場合、どのポリシータイプを適用するかを設定することができます。設定したポリシータイプをベースに、必要に応じて、個別に要/不要なポリシーを追加/変更/削除して、カスタマイズ設定します。

ポリシータイプは /etc/selinux/config 設定ファイルで設定変更可能です。
CentOS 7 のデフォルトは「targeted」ポリシーです。

ただし、ポリシータイプを変更する場合、ポリシーファイルがインストールされている必要があります。 CentOS 7 最小構成の場合、デフォルトでは「targeted」ポリシーのみがインストールされています。

インストールされてないポリシータイプを指定すると、システムが起動しなくなるため注意が必要です。

[1]

ポリシータイプは「SELINUXTYPE=***」で設定します。

# デフォルトは「targeted」ポリシー

[root@dlp ~]#

cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

# 例として「minimum」ポリシーに変更

# 事前にポリシーファイルをインストール

[root@dlp ~]#

yum -y install selinux-policy-minimum

# ポリシーファイルが「minimum」ディレクトリ配下にインストールされる

[root@dlp ~]#

ll /etc/selinux

total 16
-rw-r--r--. 1 root root  547 Mar 18 16:23 config
drwxr-xr-x. 6 root root 4096 Mar 18 17:26 minimum
-rw-r--r--. 1 root root 2321 Nov 20 16:04 semanage.conf
drwxr-xr-x. 6 root root 4096 Mar 18 16:24 targeted

[root@dlp ~]#

vi /etc/selinux/config

#「SELINUXTYPE」変更

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.

SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=minimum

# 変更後はシステム再起動

[root@dlp ~]#

reboot

[root@dlp ~]#

sestatus

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             minimum     # 変更された
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

[3]

設定ファイル中に例示してある通り、パッケージとして提供されているポリシーは以下の三種類です。

ポリシー	説明
Targeted	システム上で攻撃対象となる可能性の高いプロセスに対してアクセス制御を適用するポリシー (デフォルト)。
Minimum	ポリシーファイル構成は Targeted と全く同じだが、アクセス制御が適用されるプロセスは最小限に絞られている。
MLS	Multilevel Security ポリシー。Bell–LaPadula (BLP) モデルを実装し、より細かなアクセス制御が適用可能。