SELinux : ポリシータイプの設定2021/03/02

SELinux が [enforcing/permissive] で動作している場合、どのポリシータイプを適用するかを設定することができます。設定したポリシータイプをベースに、必要に応じて、個別に要/不要なポリシーを追加/変更/削除して、カスタマイズ設定します。

ポリシータイプは [/etc/selinux/config] 設定ファイルで設定変更可能です。
デフォルトは [targeted] ポリシーです。

ただし、ポリシータイプを変更する場合、ポリシーファイルがインストールされている必要があります。
最小構成インストールの場合、デフォルトでは [targeted] ポリシーのみがインストールされています。

インストールされてないポリシータイプを指定すると、システムが起動しなくなるため、重々注意が必要です。

[1]

ポリシータイプは [SELINUXTYPE=***] で設定します。

# デフォルトは [targeted] ポリシー

[root@dlp ~]#

cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

# 例として [minimum] ポリシーに変更

# 事前にポリシーファイルをインストール

[root@dlp ~]#

dnf -y install selinux-policy-minimum

# ポリシーファイルが [minimum] ディレクトリ配下にインストールされる

[root@dlp ~]#

ll /etc/selinux

total 8
-rw-r--r--. 1 root root  548 Feb 18 15:45 config
drwxr-xr-x. 5 root root  133 Feb 25 11:23 minimum
-rw-r--r--. 1 root root 2647 Feb  4 06:55 semanage.conf
drwxr-xr-x. 5 root root  133 Feb 25 11:21 targeted

[root@dlp ~]#

vi /etc/selinux/config

# [SELINUXTYPE] 変更
# ポリシー変更の際は動作モードを [permissive] に変更
# * [enforcing] のまま再起動するとリラベリングできずシステムが起動しなくなることがあるため注意

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=minimum

# 変更後はリラべリングをセットしてシステム再起動

[root@dlp ~]#

touch /.autorelabel

[root@dlp ~]#

reboot

[root@dlp ~]#

sestatus

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             minimum    # 変更された
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

[2]

設定ファイル中に例示してある通り、パッケージとして提供されているポリシーは以下の三種類です。

ポリシー	説明
Targeted	システム上で攻撃対象となる可能性の高いプロセスに対してアクセス制御を適用するポリシー (デフォルト)。
Minimum	ポリシーファイル構成は Targeted と全く同じだが、アクセス制御が適用されるプロセスは最小限に絞られている。
MLS	Multilevel Security ポリシー。Bell–LaPadula (BLP) モデルを実装し、より細かなアクセス制御が適用可能。