SELinux (Security-Enhanced Linux) は、アメリカ国家安全保障局 (NSA) により開発された、Linux kernel の強制アクセス制御 (MAC) 機能です。現在では、NSA の手を離れ、コミュニティにより開発が継続されています。
従来のセキュリティ設計では、ファイルやディレクトリのパーミッションなどのLinux 標準のアクセス制御機能において、管理者である root ユーザに権限が集中していました。そのため、攻撃者に一度管理者権限を奪取されてしまうとシステムに致命的な被害が及んでしまいます。
SELinux では、root を含めたユーザやプロセス、リソースに対してラベル付けを行い、ラベルごとに細かく読み込みや書き込みを許可するセキュリティポリシーを設定、必要最低限の権限のみを与えることで、システムが攻撃された場合でも被害を最小限に抑えることができるセキュリティ設計になっています。
参考リンク |
---|