ACL(アクセス制御リスト)設定 - 管理権限設定

ここでは攻撃に利用される恐れのあるシステムコールの利用に必要な権限をまとめており、ケイパビリティやシステムコールの利用を制限できます。

1 「全ファイルのラベル付け」

ファイルのセキュリティラベルを付け替える権限をまとめて許可します。すべてのファイルのサーチ権限も与えられてしまうことに注意が必要です。同時に「/selinux以下への情報へのアクセス」を許可する必要があります。

2 「書き込み権限のあるファイルのラベル付け」

プロセスが書き込むことのできるファイルのラベル張替えを許可します。

3 「/selinux以下の情報へのアクセス」

 /selinux以下の情報へアクセスする権限を与えます。SELinuxAPIを使ったアプリケーションが必要とすることがあります。

4 「setenforceコマンドの使用」

setenforceコマンドの利用を許可します。

5「load_policyコマンドの使用」

セキュリティポリシーをカーネルに再読み込みする権限を与えます。

6「arp,routeテーブルの書き換え」

arp、routeテーブルの書き換え、プロミスキャスモードの利用などネットワーク周りの管理作業を許可します。

7「ブート権限」

reboot()システムコールの使用を許可します。Linux CapabilitiesにおけるケイパビリティCAP_SYS_BOOTに相当します。

8「モジュールをカーネルに読み込ませる権限」

カーネルモジュールのインストール/アンインストールを許可します。Linux CapabilitiesにおけるケイパビリティCAP_SYS_MODULEに相当します。

9「ディスククォータをONにする権限」

ディスククォータをONにする権限を与えます。

10「swapを有効にする権限」

swapon()システムコールの使用を許可します。

11 「マウントに必要な権限」

mount()システムコールの利用を許可します。

12「raw I/Oに必要な権限(/dev/mem、デバイスなど)」

Linux CapabilitiesにおけるケイパビリティCAP_SYS_ROWIOに相当します。ioperm()やiopl()システムコールの利用を許可し ます。デバイスを直接たたく行為は、/dev/port経由で行うことも可能な為、/dev/portファイルに対してもアクセス制御をかけておく必要が あります。

13 「ptraceシステムコールの使用」

ptrace()システムコールの利用を許可します。

14「chrootシステムコールの使用」

chroot()システムコールの利用を許可します。

15「全ディレクトリのサーチ権限」

全ディレクトリに対するサーチ権限を与えます。

16 「全ファイルの読み込み権限」

全ファイルに対する読み込み権限を与えます。

17 「全ファイルの書き込み権限」

全ファイルに対する書き込み権限を与えます。

18 「ラベル付け前ファイルの読み書き」

ラベル付け前のファイルの読み書きを許可します。

19 「全ての権限を許可」

文字通りドメインに全ての権限を与えます。ドメインは,SELinuxのアクセス制御を受けなくなります。

20 設定の反映

「適用」ボタンをクリックすることにより、設定内容が単純化ポリシーファイルに反映されます。