ArchWiki - 利用者の投稿記録 [ja]

カーネル/Arch build system

2023-09-27T12:29:08Z

S3-odara: 2023-09-08版に同期

[[Category:カーネル]]
[[de:Eigenen Kernel erstellen]]
[[en:Kernel/Arch build system]]
[[ru:Kernel (Русский)/Arch Build System]]
[[zh-hans:Kernel/Arch Build System]]
[[Arch Build System]] を使うことで、公式の {{Pkg|linux}} パッケージをベースにカスタムカーネルをビルドすることができます。このコンパイル方法は全体のプロセスを自動化でき、よくテストされたパッケージに基づいています。PKGBUILD を編集することでカスタムカーネルの設定や[[パッチ]]の追加が可能です。

== 材料の入手 ==

[[makepkg]] を使用するので、以下のベストプラクティスに従ってください。例えば、makepkg を [[root ユーザ]]として実行することはできません。したがって、まずはホームディレクトリに {{ic|build}} ディレクトリを作成してください:

$ mkdir ~/build/
$ cd ~/build/

パッケージ {{Pkg|devtools}} と {{Pkg|base-devel}} を[[インストール]]してください。

カスタマイズを開始するには、クリーンなカーネルが必要です。以下を実行して、[[Arch Build System#PKGBUILD ソースを取得する|git を使って PKGBUILD ソースを取得]]し、他のいくつかのファイルも取得してください:

$ pkgctl repo clone --protocol=https linux

この時点で、ディレクトリツリーは以下のようになります（他にもいくつかファイルがあるかもしれません）

{{bc|~/build/linux/-+
+--config
\__PKGBUILD
}}

その後、必要なファイル (例:カスタム設定ファイル、パッチなど) をそれぞれのソースから取得してください。

== PKGBUILD の修正 ==

PKGBUILD を編集して、{{ic|pkgbase}} パラメータをあなたのカスタムパッケージの名前に変えて下さい、例えば:

{{hc|PKGBUILD|2=
pkgbase=linux-custom}}

{{Warning|{{ic|linux}} を {{ic|provides}} 配列に '''追加しないでください'''。カスタムカーネルは、そのカーネルに対して構築されたバイナリモジュールと互換性がないため、その依存関係を満たすことはできません。同様に、同様の理由で、ヘッダーパッケージの {{ic|provides}} 配列に {{ic|linux-headers}} を追加しないでください。}}

=== ドキュメントの作成を避ける ===

長い[[#コンパイル|コンパイル]]作業の大部分は、ドキュメントの作成に費やされています。2022年8月25日の時点で、PKGBUILD への次のパッチにより作成を回避します:

{{bc|1=
63c63
< make htmldocs all
---
> make all
195c195
< pkgname=("$pkgbase" "$pkgbase-headers" "$pkgbase-docs")
---
> pkgname=("$pkgbase" "$pkgbase-headers")
}}

このパッチは行#63 と行#195 を変更します。 PKGBUILD ファイルが正しく適用されない場合は、手動で編集する必要がある場合があります。

=== prepare() の変更 ===

{{ic|prepare()}} 関数では、[[パッケージにパッチを適用#パッチの適用|パッチの適用]] やカーネルビルドの設定を変更することができます。
[https://gitlab.archlinux.org/archlinux/packaging/packages/linux/-/commit/fbf5b3b8adaf4274e53f35634124e1c3d2e4d328 2018-08-01]以降、PKGBUILDは自動的にソース内の{{ic|*.patch}}ファイルを適用します。

もし、いくつかの設定を変更する必要があるなら、ソースの {{ic|config}} を編集することができます。

また、GUI ツールを使ってオプションを調整することもできます。PKGBUILD の prepare() 関数に {{ic|make olddefconfig}} とコメントし、好きなツールを追加してください (利用可能な設定ターゲットをすべてリストアップするには {{ic|make help}} を実行してください):

{{hc|PKGBUILD|
...
msg2 "Setting config..."
cp ../config .config
#make olddefconfig

make nconfig # new CLI menu for configuration
#make menuconfig # CLI menu for configuration
#make xconfig # X-based configuration
#make oldconfig # using old config from previous kernel version
# ... or manually edit .config
make prepare
...
}}

{{Warning|systemd には、汎用的なユースケース、特定のユースケース (例: UEFI)、特定の systemd の機能 (例: bootchart) を使用するために、設定する必要があるカーネルコンフィグが多数存在します。正しく設定しないとシステムの調子がおかしくなったり全く使えなくなったりします。必須あるいは推奨されているカーネルコンフィグのリストは {{ic|/usr/share/doc/systemd/README}} に書かれています。コンパイルする前によく確認してください。必要なコンフィグはときどき変わっています。Arch では基本的に公式カーネルを使用することになっているので、要件が変わってもアナウンスはされません。新しいバージョンの systemd をインストールする前に、リリースノートをチェックして使用しているカスタムカーネルが新しい systemd の要件を満たしているか確認してください。}}

=== 新しいチェックサムを生成 ===

[[#prepare() の変更]] では、{{ic|$_srcname/.config}} への変更の可能性を示唆しています。このパスはパッケージファイルのダウンロードが終了した場所ではないため、そのチェックサムは makepkg によってチェックされませんでした (実際は {{ic|$_srcname/../../config}} をチェックしました)。

makepkg を実行する前に、ダウンロードした {{ic|config}} を別の設定ファイルに置き換えた場合は、{{Pkg|pacman-contrib}} パッケージを[[インストール]]し、以下を実行して新しいチェックサムを生成してください:

$ updpkgsums

== コンパイル ==

これで、いつものコマンド {{ic|makepkg}} を使って、あなたのカーネルをコンパイルできるようになりました。

カーネルパラメータの設定に (menuconfig などの) インタラクティブなプログラムを選んだ場合は、コンパイル中に設定を行ってください。

$ makepkg -s

{{ic|-s}} パラメータによって xml やドキュメントなど最近のカーネルが必要とする依存パッケージがダウンロードされます。

{{Note|
* カーネルソースは [https://www.kernel.org/signature.html#kernel-org-web-of-trust PGP 署名] が付いており、makepkg は署名を検証します。詳しくは [[Makepkg#署名チェック]]を見てください。
* ハードウェアのパフォーマンスによっては、コンパイルに数時間かかる可能性があります。マルチコアのシステムでは[[Makepkg#並列コンパイル|複数のコンパイルジョブを同時に実行する]]ことでコンパイル時間を大幅に削減することが可能です。
* 上記の {{ic|makepkg}} を {{ic|time}} コマンドを使って実行すれば、コンパイルにどれだけの時間が掛かったのかを知ることができます。
}}

== インストール ==

コンパイルのステップを終えると、{{ic|~/build/linux}} フォルダ内に 2 つのパッケージが作成されています。1 つはカーネルで、もう一つはカーネルのヘッダファイル群です。これらは以下のような名前かもしれません:

linux-custom-5.8.12-x86_64.pkg.tar.zst
linux-custom-headers-5.8.12-x86_64.pkg.tar.zst

ベストプラクティスは、両方のパッケージを一緒に[[インストール]]することです。両方とも必要になるかもしれませんから (例えば [[DKMS]]):

# pacman -U ''linux-custom-headers-5.8.12-x86_64.pkg.tar.zst'' ''linux-custom-5.8.12-x86_64.pkg.tar.zst''

(先のフォルダ内にあるファイルの実際の名前に置き換えてください)

== ブートローダー ==

新しいカーネルをデフォルトのカーネルと共存させるために {{ic|pkgbase}} を変更した場合、ブートローダーの設定ファイルを更新し、関連する initramfs イメージとカスタムカーネルの新しいエントリ ('default' と 'fallback') を追加する必要があります。

== アップデート ==

更新したい arch kernel source を持っていると仮定すると、そのための一つの方法は https://github.com/archlinux/linux を使うことです。以下では、カーネルソースの最上位ディレクトリを {{ic|~/build/linux/}} とします。

一般に、arch は2つのローカル git リポジトリを持つ arch kernel source を設定します。{{ic|archlinux-linux/}} にあるのは、{{ic|<nowiki>https://github.com/archlinux/linux.git</nowiki>}} を指しているローカルの裸の [[git]] リポジトリです。もう一つは {{ic|'''src/'''archlinux-linux/}} にあり、最初のリポジトリから取り出します。可能なローカルパッチとビルドは、{{ic|'''src/'''archlinux-linux/}} にあると期待されます。

この例では、{{ic|archlinux-linux/}} にローカルにインストールされた bare git リポジトリソースの HEAD が最初に指されています:

{{hc|1=
$ cd ~/build/linux/archlinux-linux/
$ git log --oneline --max-count 1 HEAD|2=
4010b622f1d2 Merge branch 'dax-fix-5.3-rc3' of <nowiki>git://git.kernel.org/pub/scm/linux/kernel/git/nvdimm/nvdimm</nowiki>
}}

v5.2.5-arch1とv5.2.6-arch1の間のどこかにあります。

$ git fetch --verbose

取得した新しいタグを出力するため、最新の archlinux タグである v5.2.7-arch1 をフェッチしたことがわかります。新しいタグが取得されなかった場合、利用可能な新しい archlinux ソースはありません。

これで、実際のビルドが行われる場所でソースを更新できます。

$ cd ~/build/linux/src/archlinux-linux/
$ git checkout master
$ git pull
$ git fetch --tags --verbose
$ git branch --verbose 5.2.7-arch1 v5.2.7-arch1
$ git checkout 5.2.7-arch1

次のような方法で状況が進んでいることを確認できます

{{hc|1=$ git log --oneline 5.2.7-arch1 --max-count=7|2=
13193bfc03d4 '''Arch Linux kernel v5.2.7-arch1'''
9475c6772d05 netfilter: nf_tabf676926c7f60les: fix module autoload for redir
498d650048f6 iwlwifi: Add support for SAR South Korea limitation
bb7293abdbc7 iwlwifi: mvm: disable TX-AMSDU on older NICs
f676926c7f60 ZEN: Add CONFIG for unprivileged_userns_clone
5e4e503f4f28 add sysctl to disallow unprivileged CLONE_NEWUSER by default
5697a9d3d55f '''Linux 5.2.7'''
}}

これは、{{ic|Arch Linux kernel v5.2.7-arch1}} と {{ic|Linux 5.2.7}} の間のいくつかの特定の archlinux パッチを示しています。

最新の PKGBUILD および archlinux カーネルのコンフィグレーションファイルは、{{ic|git}} を使ってパッケージディレクトリへ取得できます:

$ cd ~/build/linux/
$ git pull

{{ic|~/build/linux/linux/*}} 内のファイルを {{ic|~/build/linux/}} へ[[Vim#ファイルのマージ|マージする]]必要があります。マージは手動で行うことができますし、[[アプリケーション一覧#Comparison, diff, merge|特定のユーティリティ]]を使うこともできます。[[#prepare() の変更]] を見て、PKGBUILD::prepare() のシェルコマンドを (全てではないにしろ) ほぼ全て手動で実行してください。

この時点で、 {{ic|makepkg--verifysource}} は成功するはずです。[[#コンパイル]] の時には、{{ic|makepkg}} {{ic|--noextract}} オプションも追加してください。これによりソースが makepkg --nobuild によって抽出されたかのようにパッケージをビルドできるはずです。そして [[#インストール]] に戻ります。

=== クリーンアップ ===

マージした後、{{ic|~/build/linux/linux/}} を削除したい場合があるでしょう。{{ic|~/build/linux/src/archlinux}} は、より新しい更新がこの方法で行われた場合、{{ic|5.2.7-arch1}} の形でブランチを蓄積します。これらは以下で削除することができます:

$ cd ~/build/linux/src/archlinux
$ git branch --delete --force --verbose 5.2.7-arch1

== 参照 ==

* https://docs.kernel.org/kbuild/kconfig.html とその親ディレクトリ

{{TranslationStatus|Kernel/Arch build system|2023-06-04|780280}}

SELinux

2023-09-18T03:06:04Z

S3-odara: 記事内へのリンクを修正

[[Category:アクセス制御]]
[[Category:カーネル]]
[[Category:Red Hat]]
[[en:SELinux]]
[[ru:SELinux]]
{{Related articles start}}
{{Related|セキュリティ}}
{{Related|AppArmor}}
{{Related|TOMOYO Linux}}
{{Related articles end}}

Security-Enhanced Linux (SELinux) は Linux カーネルの Linux Security Module (LSM) を使って、アメリカ国防総省式の[[強制アクセス制御]]などの様々なセキュリティポリシーを提供する Linux の機能です。Linux ディストリビューションではなく、むしろ Linux や BSD などの Unix ライクなオペレーティングシステムに使うことができる改造セットと言えます。

Linux ディストリビューションで SELinux を動かすには3つのことが必要です: SELinux が有効になったカーネル、SELinux のユーザースペースツールとライブラリ、そして SELinux のポリシー (大半はリファレンスポリシーがベース) です。また、SELinux 機能を有効にするパッチをあててコンパイルする必要がある Linux プログラムも存在します。

==Arch Linux における現在の状態==

SELinuxは公式にはサポートされていません([https://lists.archlinux.org/archives/list/arch-general@lists.archlinux.org/message/4LXUXQSFEPVLN7S2DDBIGVUS7L7ES5S2/][https://lists.archlinux.org/archives/list/arch-general@lists.archlinux.org/message/VM72SI36VDX4PVUP4ZZEDIOSBVYTI7OG/]を参照)。
非公式サポートの現状は以下の通りです。

{| class="wikitable"
! 名前 !! 状態 !! 入手先
|-
| SELinux が有効になったカーネル || [[カーネル#.E5.85.AC.E5.BC.8F.E3.82.B5.E3.83.9D.E3.83.BC.E3.83.88.E3.82.AB.E3.83.BC.E3.83.8D.E3.83.AB|公式サポートカーネル]] で実装済み || [https://gitlab.archlinux.org/archlinux/packaging/packages/linux/-/commit/3a29867f8266250b10aa9fa8368abc4306fa9c4b 4.18.8] から公式リポジトリで利用できます。
|-
| SELinux のユーザースペースツールとライブラリ || AUR で実装: https://aur.archlinux.org/packages/?O=0&K=selinux || https://github.com/archlinuxhardened/selinux に成果があります。
|-
| SELinux のポリシー || 作業中です。[https://github.com/TresysTechnology/refpolicy Reference Policy] を上流として使用。 || 上流: https://github.com/TresysTechnology/refpolicy (2017年8月5日のリリースから systemd と /usr/bin ディレクトリのサポートがポリシーに統合されました)
|}

公式の core パッケージと AUR にあるパッケージの変更点:

{| class="wikitable"
! 名前 !! 状態とコメント
|-
| linux, linux-lts, linux-zen, linux-hardened || [[#SELinuxのLSMを有効化|lsm=のカーネルパラメーター]]が必要
|-
| coreutils || {{ic|--with-selinux}} フラグを使って libselinux とリンクしてリビルドする必要があります。
|-
| cronie || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| dbus || {{ic|--enable-libaudit}} と {{ic|--enable-selinux}} フラグを使ってリビルドする必要があります。
|-
| findutils || libselinux をインストールしてリビルドを行なって SELinux-specific オプションを有効にします。
|-
| iproute2 || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| logrotate || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| openssh || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| pam || Linux-PAM のために {{ic|--enable-selinux}} フラグを使ってリビルドする必要があります。pam_unix2 のパッチが必要で、最近のバージョンの libselinux で実装されている関数を削除します。
|-
| pambase || 設定を変更して {{ic|/etc/pam.d/system-login}} に pam_selinux.so を追加します。
|-
| psmisc || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| shadow || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| sudo || {{ic|--enable-selinux}} フラグを使ってリビルドする必要があります。
|-
| systemd || {{ic|--enable-audit}} と {{ic|--enable-selinux}} フラグを使ってリビルドする必要があります。
|-
| util-linux || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
|}

他の SELinux 関連のパッケージはおそらく変更を加えずに安全に使うことができます。

==強制アクセス制御==

{{Note|このセクションはビギナーのために書かれています。SELinux が何でどういう仕組みで動作するのか知っている場合は、インストールの項にスキップしてください。}}

SELinux を有効にする前に、SELinux が何をするのか理解したほうが良いでしょう。簡単に言うと、SELinux は Linux で''強制アクセス制御 (Mandatory Access Control, MAC)'' を実施します。SELinux と対比するように、伝統的なユーザー/グループ/rwx のパーミッションは一種の''任意アクセス制御 (Discretionary Access Control, DAC)''です。MAC は DAC と異なり、セキュリティポリシーとその実行が完全に区別されています。

例として ''sudo'' コマンドの使用が挙げられます。DAC が使用されている場合、sudo は root への一時的な権限昇格を許可し、プロセスはシステム全体に制限なくアクセスできるようになります。しかしながら、MAC を使用した場合、プロセスがアクセスできる特定のファイルセットをセキュリティ管理者が指定しておけば、どんな権限昇格を用いたとしても、セキュリティポリシーが変わらないかぎり、プロセスがアクセスできるファイルは制限されます。そのため、SELinux が動作しているマシンで ''sudo'' を使ってポリシーが許可しないファイルにアクセスしようとしても、アクセスは不可能です。

他の例としては、ファイルに与えられる伝統的な (-rwxr-xr-x) タイプのパーミッションがあります。DAC の下では、パーミッションはユーザーによって変更できます。しかしながら、MAC の下では、セキュリティ管理者が特定のファイルのパーミッションを凍結することが可能です。ファイルに関連するポリシーが変更されないかぎり、ファイルのパーミッションをユーザーが変更することは不可能になります。

このことが、ウェブサーバーなど、危険にさらされる可能性のあるプロセスで特に有用なのは想像に難くないでしょう。DAC が使われている場合、権限昇格ができるプログラムを奪取されて大損害を被る危険が十分あるのです。

もっと詳しい情報は、Wikipedia の [[Wikipedia:ja:強制アクセス制御|MAC]] のページを見て下さい。

==SELinux のインストール==

===パッケージの説明===

SELinux 関連のパッケージは全て、AUR の ''selinux'' グループに含まれています。これらのいずれかを自分でインストールしようとする前に[[#インストール]]を読んで完全なインストールのために推奨されるオプションを確認してください。

====SELinux 対応のシステムユーティリティ====

;{{AUR|coreutils-selinux}}
:SELinux のサポートを有効にしてコンパイルされた修正版 coreutils パッケージ。{{pkg|coreutils}} パッケージを置き換えます。

;{{AUR|cronie-selinux}}
:SELinux が有効になっている Vixie cron の Fedora フォーク。{{pkg|cronie}} パッケージを置き換えます。

;{{AUR|dbus-selinux}}
:SELinux 対応版の [[D-Bus]]。{{pkg|dbus}} パッケージを置き換えます。

;{{AUR|findutils-selinux}}
:指定したセキュリティコンテキストを使ってファイルの検索をできるようにするため SELinux のサポートを有効にしてコンパイルされたパッチ済みの findutils パッケージ。{{pkg|findutils}} パッケージを置き換えます。

;{{AUR|iproute2-selinux}}
:SELinux のサポートを有効にしてコンパイルされた iproute2 パッケージ。{{ic|ss}} の {{ic|-Z}} オプションを追加するなどの修正があります。{{pkg|iproute2}} パッケージを置き換えます。

;{{AUR|logrotate-selinux}}
:SELinux のサポートを有効にしてコンパイルされた Logrotate パッケージ。{{pkg|logrotate}} パッケージを置き換えます。

;{{AUR|openssh-selinux}}
:SELinux のサポートを有効にしてコンパイルされ、ユーザーセッションのセキュリティコンテキストを設定する [[OpenSSH]] パッケージ。{{pkg|openssh}} パッケージを置き換えます。

;{{AUR|pam-selinux}} と {{AUR|pambase-selinux}}
:pam_selinux.so が入った PAM パッケージとそのベースパッケージ。それぞれ {{pkg|pam}} と {{pkg|pambase}} パッケージを置き換えます。

;{{AUR|psmisc-selinux}}
:SELinux サポートを有効にしてコンパイルされた Psmisc パッケージ。例えば、{{ic|killall}} に {{ic|-Z}} オプションを追加します。{{pkg|psmisc}} パッケージを置き換えます。

;{{AUR|shadow-selinux}}
:SELinux サポートを有効にしてコンパイルされた Shadow パッケージ。ログイン後のユーザーに適切なセキュリティコンテキストを設定するように修正された {{ic|/etc/pam.d/login}} ファイルが含まれています。{{pkg|shadow}} パッケージを置き換えます。

;{{AUR|sudo-selinux}}
:適切にセキュリティコンテキストを設定する SELinux サポートを有効にしてコンパイルされた修正版 [[sudo]] パッケージ。{{pkg|sudo}} パッケージを置き換えます。

;{{AUR|systemd-selinux}}
:SELinux 対応版の [[Systemd]]。{{pkg|systemd}} パッケージを置き換えます。

;{{AUR|util-linux-selinux}}
:SELinux のサポートを有効にしてコンパイルされた修正版 util-linux パッケージ。{{pkg|util-linux}} パッケージを置き換えます。

====SELinux のユーザースペースユーティリティ====
;{{AUR|checkpolicy}}
:SELinux ポリシーを作成するためのツール。

;{{AUR|mcstrans}}
:libselinux によって MCS ラベルを変換するのに使われるデーモン。

;{{AUR|libselinux}}
:セキュリティが求められるアプリケーションのためのライブラリ。''semanage'' と ''setools'' に必要な Python バインディングが含まれています。

;{{AUR|libsemanage}}
:ポリシー管理のためのライブラリ。''semanage'' と ''setools'' に必要な Python バインディングが含まれています。

;{{AUR|libsepol}}
:バイナリポリシーの操作のためのライブラリ。

;{{AUR|policycoreutils}}
:newrole や setfiles などの SELinux のコアユーティリティ。

;{{AUR|restorecond}}
:ファイルのラベルを管理するデーモン。

;{{AUR|secilc}}
:CIL (共通中間言語) で書かれた SELinux ポリシーのコンパイラ。

;{{AUR|selinux-dbus-config}}
:SELinux の設定を管理できる DBus サービス。

;{{AUR|selinux-gui}}
:SELinux の GUI ツール (system-config-selinux)。

;{{AUR|selinux-python}} と {{AUR|selinux-python2}}
:SELinux の python ツールとライブラリ (semanage, sepolgen, sepolicy など)。

;{{AUR|selinux-sandbox}}
:SELinux のサンドボックスツール。

;{{AUR|semodule-utils}}
:ポリシーをビルドするときに SELinux モジュールを処理するツール。

====SELinux のポリシーパッケージ====

;{{AUR|selinux-refpolicy-src}}
:リファレンスポリシーのソース。

;{{AUR|selinux-refpolicy-git}}
:Arch Linux 用の設定でビルドされるリファレンスポリシーの git マスター (https://github.com/TresysTechnology/refpolicy)。

;{{AUR|selinux-refpolicy-arch}}
:コンパイル済みモジュールのリファレンスポリシー。ヘッダーやドキュメントは付いていますがソースは付いていません。Arch Linux の Refpolicy パッチが含まれており、パスのラベリングと systemd サポートに関連する問題を修正します。パッチは Reference Policy メンテナにも送られており、{{AUR|selinux-refpolicy-arch}} に含まれることで Refpolicy リリースのアップデートが行われます。

====その他の SELinux のツール====

;{{AUR|setools}}
:SELinux を管理するための CLI と GUI ツール。

;{{AUR|selinux-alpm-hook}}
:パッケージのインストール・アップデート時に SELinux ポリシーにあわせてファイルをラベリングする pacman フック。

=== インストール ===

必要な SELinux パッケージをインストールする方法は2つあります。

==== GitHubのバイナリを使用 ====

全てのパッケージは非公式ユーザーリポジトリ(https://wiki.archlinux.org/title/Unofficial_user_repositories#selinux)で入手可能です。''base''パッケージはシステムインストールの{{ic|arch-bootstrap}}段階で''base-selinux''に置き換え可能です。

{{Warning|現状、このリポジトリでは署名付きパッケージを提供していないため、ダウンロードしたバイナリはpacmanによって検証されません。これにはセキュリティ上のリスクが伴います。十分注意してください。}}

==== GitHubのビルドスクリプトを使用 ====

このリポジトリには {{ic|build_and_install_all.sh}} という名前のスクリプトが含まれており、全てのパッケージを正しい順番でビルド・インストール (あるいはアップデート) します。以下はユーザーシェルでスクリプトを使って全てのパッケージをインストールする例です (GPG 鍵をダウンロードしてパッケージのソース tarball を検証します):

$ git clone https://github.com/archlinuxhardened/selinux
$ cd selinux
$ ./recv_gpg_keys.sh
$ ./build_and_install_all.sh

もちろん、スクリプトを実行する前に {{ic|build_and_install_all.sh}} の中身を変更することもできます。例えば既に SELinux のサポートが有効になっているカーネルを使っている場合などに変更を加えます。

==== AUR を使用 ====

* まず、SELinux のユーザースペースツールとライブラリをインストールしてください。依存関係があるため順番通りに行う必要があります。: {{AUR|libsepol}}, {{AUR|libselinux}}, {{AUR|checkpolicy}}, {{AUR|secilc}}, {{AUR|setools}}, {{AUR|libsemanage}}, {{AUR|semodule-utils}}, {{AUR|policycoreutils}}, {{AUR|selinux-python}} ({{Pkg|python-ipy}}) が必要), {{AUR|mcstrans}}, {{AUR|restorecond}}。
* 次に {{AUR|pambase-selinux}} と {{AUR|pam-selinux}} をインストールして、インストール完了後にユーザーのログインができることを確認します。{{pkg|pambase}} が {{AUR|pambase-selinux}} で置き換えられるときに、{{ic|/etc/pam.d/}} のファイルが削除されて、作成されなおすためです。
* その後、コアパッケージを再コンパイルするために以下のパッケージをインストールします。: {{AUR|coreutils-selinux}}, {{AUR|findutils-selinux}}, {{AUR|iproute2-selinux}}, {{AUR|logrotate-selinux}}, {{AUR|openssh-selinux}}, {{AUR|psmisc-selinux}}, {{AUR|shadow-selinux}}, {{AUR|cronie-selinux}}。
* そして、{{ic|/etc/sudoers}} ファイルをバックアップします。{{AUR|sudo-selinux}} をインストールしてから {{ic|/etc/sudoers}} を元に戻してください ({{pkg|sudo}} を置き換えるときにファイルが上書きされます)。
* 次は util-linux と systemd です。修正できない循環依存が存在するため ({{bug|39767}})、{{AUR|systemd-selinux}} のソースパッケージをビルドしてから、{{AUR|systemd-libs-selinux}}をインストールして、{{AUR|util-linux-selinux}}を{{AUR|util-linux-libs-selinux}}と一緒にビルドしてインストールし、そして {{AUR|systemd-selinux}} を再ビルドして再インストールします。
* それから、{{AUR|dbus-selinux}} をインストールしてください。
* その後、{{AUR|selinux-alpm-hook}} をインストールして pacman でパッケージをインストールするたびに restorecon が実行されるようにします。

上記の手順が全て終わったら、SELinux カーネル ({{Pkg|linux}}などとポリシー({{AUR|selinux-refpolicy-arch}} や {{AUR|selinux-refpolicy-git}} など) をインストールします。

=== SELinuxのLSMを有効化 ===

起動時にSELinuxをデフォルトのセキュリティモデルとして有効にするには、次の[[カーネルパラメータ]]が必要です。:

lsm=landlock,lockdown,yama,integrity,selinux,bpf

{{Note|The {{ic|1=lsm=}}カーネルパラメーターはLinuxセキュリティモジュールの初期化順序を設定します。カーネルに設定された{{ic|1=lsm=}}の値は{{ic|1=zgrep CONFIG_LSM= /proc/config.gz}}で見つけることができ、現在の値は{{ic|cat /sys/kernel/security/lsm}}で見ることができます。

=== カスタムカーネル ===

[[カーネル/Arch_build_system#.E3.82.B3.E3.83.B3.E3.83.91.E3.82.A4.E3.83.AB|カーネルをコンパイル]]するときには少なくとも以下のオプションを設定する必要があります。:

CONFIG_SECURITY_SELINUX=y
CONFIG_AUDIT=y

SELinuxをデフォルトで有効にし、カーネルパラメータの設定を省略するには、加えて{{ic|CONFIG_LSM}}を有効にし、リストの最初の"major"モジュールとして{{ic|selinux}}を設定します。:

CONFIG_LSM="landlock,lockdown,yama,integrity,selinux,bpf"

===PAM の確認===

ログイン後に適切なセキュリティコンテキストを得るために [[PAM]] を正しく設定する必要があります。以下の行が {{ic|/etc/pam.d/system-login}} に存在するか確認してください:

{{bc|# pam_selinux.so close should be the first session rule
session required pam_selinux.so close}}

{{bc|# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open}}

===ポリシーのインストール===

{{Warning|[https://github.com/SELinuxProject/refpolicy/wiki SELinuxProject] によるリファレンスポリシーはあまり Arch Linux に適しているとは言えません。、ポリシーを改善するパッチを投稿している人の多くが他のディストリビューション (Debian, Gentoo, RHEL など) を使っているため、Arch Linux パッケージとの互換性は完璧ではありません (例えばプログラムの新しい機能をポリシーがサポートしていない場合があります)。}}

ポリシーは SELinux の基幹です。ポリシーによって SELinux の挙動は左右されます。AURで利用可能な唯一のポリシーはリファレンスポリシーだけです。リファレンスポリシーをインストールするには、{{AUR|selinux-refpolicy-src}} パッケージから取得するか https://github.com/SELinuxProject/refpolicy/wiki/DownloadRelease#current-release から最新のリリースをダウンロードすることができます。AUR のパッケージを使う場合、{{ic|/etc/selinux/refpolicy/src/policy}} まで移動して以下のコマンドを実行してリファレンスポリシーをインストールしてください:

# make bare
# make conf
# make install

SELinux ポリシーの書き方を知っているならば上記のコマンドを実行する前に存分にポリシーを調整することができます。コマンドはしばらく時間がかかりジョブを実行してシステムの1つのコアに負担をかけます、心配は要りません。のんびりと構えてコマンドを実行させておいて下さい。

リファレンスポリシーをロードするには次を実行:

# make load

そして、以下の内容で {{ic|/etc/selinux/config}} ファイルを作成してください (上記のデフォルト設定を使用する場合。ポリシーの名前を変更したときは、ファイルを修正する必要があります):

{{hc|/etc/selinux/config|2=
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# Set this value once you know for sure that SELinux is configured the way you like it and that your system is ready for deployment
# permissive - SELinux prints warnings instead of enforcing.
# Use this to customise your SELinux policies and booleans prior to deployment. Recommended during policy development.
# disabled - No SELinux policy is loaded.
# This is not a recommended setting, for it may cause problems with file labelling
SELINUX=permissive
# SELINUXTYPE= takes the name of SELinux policy to
# be used. Current options are:
# refpolicy (vanilla reference policy)
# <custompolicy> - Substitute <custompolicy> with the name of any custom policy you choose to load
SELINUXTYPE=refpolicy
}}

ここで、再起動が必要です。再起動したら、次を実行してファイルシステムにラベルを付けて下さい:

# restorecon -r /

その後、以下の内容で {{ic|requiredmod.te}} ファイルを作成します:

{{hc|requiredmod.te|2=
module requiredmod 1.0;

require {
type devpts_t;
type kernel_t;
type device_t;
type var_run_t;
type udev_t;
type hugetlbfs_t;
type udev_tbl_t;
type tmpfs_t;
class sock_file write;
class unix_stream_socket { read write ioctl };
class capability2 block_suspend;
class dir { write add_name };
class filesystem associate;
}

#============= devpts_t ==============
allow devpts_t device_t:filesystem associate;

#============= hugetlbfs_t ==============
allow hugetlbfs_t device_t:filesystem associate;

#============= kernel_t ==============
allow kernel_t self:capability2 block_suspend;

#============= tmpfs_t ==============
allow tmpfs_t device_t:filesystem associate;

#============= udev_t ==============
allow udev_t kernel_t:unix_stream_socket { read write ioctl };
allow udev_t udev_tbl_t:dir { write add_name };
allow udev_t var_run_t:sock_file write;</nowiki>}}

そして以下のコマンドを実行してください:

{{bc|<nowiki># checkmodule -m -o requiredmod.mod requiredmod.te
# semodule_package -o requiredmod.pp -m requiredmod.mod
# semodule -i requiredmod.pp</nowiki>}}

上記の設定はリファレンスポリシーで発生する厄介なメッセージを {{ic|/var/log/audit/audit.log}} から削除するために必要です。汚いハックであり、正しくないラベリングの影響を隠すためにリファレンスポリシーにパッチをあてることを明確にするべきです。

===Vagrant 仮想マシンでテスト===

[[Vagrant]] を使うことで SELinux が設定された Arch Linux の仮想マシンをプロビジョニングできます。現在の環境に影響を与えないで Arch Linux の SELinux を簡単にテストすることが可能です。以下のコマンドを使用してテストしてください:

$ git clone <nowiki>https://github.com/archlinuxhardened/selinux</nowiki>
$ cd selinux/_vagrant
$ vagrant up
$ vagrant ssh

==インストール後の作業==

SELinux が動作しているかは {{ic|sestatus}} で確認できます。以下のように表示されるはずです:

{{bc|
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: refpolicy
Current mode: permissive
Mode from config file: permissive
Policy MLS status: disabled
Policy deny_unknown status: allowed
Max kernel policy version: 28
}}

コンテキストを適切に維持するために、{{ic|restorecond.service}}を有効にできます:

# systemctl enable restorecond

再起動しないで enforcing モードに切り替えたい場合、次のコマンドを使います:

# echo 1 > /sys/fs/selinux/enforce

===スワップファイル===

スワップパーティションの代わりにスワップファイルを使う場合、適切なセキュリティコンテキストを設定するために次のコマンドを実行してください:

# semanage fcontext -a -t swapfile_t "''/path/to/swapfile''"
# restorecon ''/path/to/swapfile''

==SELinux の使い方==

SELinux は伝統的な Unix のアクセス制御とは異なる方法でセキュリティを定義します。SELinux を理解するにはサンプルを見るのが一番です。例えば、apache のホームページの SELinux セキュリティコンテキストは以下のようになります:

$ls -lZ /var/www/html/index.html
-rw-r--r-- username username system_u:object_r:httpd_sys_content_t /var/www/html/index.html

最初の3つと最後のカラムは (Arch) Linux ユーザーなら誰でも見覚えがあるはずです。新しいのは4番目のカラムであり以下のフォーマットになっています:

user:role:type[:level]

それぞれを説明すると:
#'''User:''' SELinux のユーザー識別子。SELinux ユーザーが使用することができる複数のロールに関連付けることができます。
#'''Role:''' SELinux のロール。SELinux ユーザーがアクセスすることができる複数のタイプに関連付けることができます。
#'''Type:''' プロセスにタイプが関連付けられると、SELinux ユーザー (サブジェクト) がアクセスできるプロセスが (ドメイン) が決定します。タイプがオブジェクトと関連付けられた場合、SELinux がオブジェクトにアクセスする際のパーミッションが決まります。
#'''Level:''' ポリシーが MCS や MLS をサポートしている場合にのみ使用する任意のフィールドです。範囲とも呼びます。

これが重要になるのは、自分でポリシーを作成して、SELinux の基本的な構成要素にしたいという場合です。ほとんどの場合リファレンスポリシーで十分間に合うので、理解する必要はありません。ただし、あなたがパワーユーザーであり何か特別な必要性があるのであれば、自ら SELinux のポリシーを作成する方法を学ぶ絶好の機会でしょう。

SELinux の仕組みを理解したい人には [http://www.fosteringlinux.com/tag/selinux/ こちら] のシリーズを読むのをおすすめします。

==トラブルシューティング==

SELinux のエラーは systemd の [[journal]] で確認できます。例えば {{ic|system_u:system_r:policykit_t:s0}} ラベルに関する SELinux のメッセージを表示するには、次を実行:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

===便利なツール===

SELinux を補助するツール/コマンドがいくつか存在します。

;restorecon: ポリシールールに基づいてファイル/ディレクトリのコンテキストを付け直す ({{ic|-R}} を付けると再帰的に実行)。
;chcon: 指定したファイルのコンテキストを変更。

===問題の報告===

問題の報告は GitHub でしてください: https://github.com/archlinuxhardened/selinux/issues

==参照==
*[[wikipedia:ja:Security-Enhanced Linux|Security Enhanced Linux]]
*[https://fedoraproject.org/wiki/SELinux Fedora プロジェクトの SELinux Wiki]
*[https://www.nsa.gov/what-we-do/research/selinux/ NSA の SELinux 公式ホームページ]
* [http://userspace.selinuxproject.org/ SELinux のユーザー空間ホームページ]
**[http://oss.tresys.com/projects/refpolicy リファレンスポリシーのホームページ]
**[http://oss.tresys.com/projects/setools SETools ホームページ]
*[https://web.archive.org/web/20140816115906/http://jamesthebard.net/archlinux-selinux-and-you-a-trip-down-the-rabbit-hole/ ArchLinux, SELinux and You (アーカイブ)]

SELinux

2023-09-18T03:01:09Z

S3-odara: 2023-05-22版に翻訳を同期

[[Category:アクセス制御]]
[[Category:カーネル]]
[[Category:Red Hat]]
[[en:SELinux]]
[[ru:SELinux]]
{{Related articles start}}
{{Related|セキュリティ}}
{{Related|AppArmor}}
{{Related|TOMOYO Linux}}
{{Related articles end}}

Security-Enhanced Linux (SELinux) は Linux カーネルの Linux Security Module (LSM) を使って、アメリカ国防総省式の[[強制アクセス制御]]などの様々なセキュリティポリシーを提供する Linux の機能です。Linux ディストリビューションではなく、むしろ Linux や BSD などの Unix ライクなオペレーティングシステムに使うことができる改造セットと言えます。

Linux ディストリビューションで SELinux を動かすには3つのことが必要です: SELinux が有効になったカーネル、SELinux のユーザースペースツールとライブラリ、そして SELinux のポリシー (大半はリファレンスポリシーがベース) です。また、SELinux 機能を有効にするパッチをあててコンパイルする必要がある Linux プログラムも存在します。

==Arch Linux における現在の状態==

SELinuxは公式にはサポートされていません([https://lists.archlinux.org/archives/list/arch-general@lists.archlinux.org/message/4LXUXQSFEPVLN7S2DDBIGVUS7L7ES5S2/][https://lists.archlinux.org/archives/list/arch-general@lists.archlinux.org/message/VM72SI36VDX4PVUP4ZZEDIOSBVYTI7OG/]を参照)。
非公式サポートの現状は以下の通りです。

{| class="wikitable"
! 名前 !! 状態 !! 入手先
|-
| SELinux が有効になったカーネル || [[カーネル#.E5.85.AC.E5.BC.8F.E3.82.B5.E3.83.9D.E3.83.BC.E3.83.88.E3.82.AB.E3.83.BC.E3.83.8D.E3.83.AB|公式サポートカーネル]] で実装済み || [https://gitlab.archlinux.org/archlinux/packaging/packages/linux/-/commit/3a29867f8266250b10aa9fa8368abc4306fa9c4b 4.18.8] から公式リポジトリで利用できます。
|-
| SELinux のユーザースペースツールとライブラリ || AUR で実装: https://aur.archlinux.org/packages/?O=0&K=selinux || https://github.com/archlinuxhardened/selinux に成果があります。
|-
| SELinux のポリシー || 作業中です。[https://github.com/TresysTechnology/refpolicy Reference Policy] を上流として使用。 || 上流: https://github.com/TresysTechnology/refpolicy (2017年8月5日のリリースから systemd と /usr/bin ディレクトリのサポートがポリシーに統合されました)
|}

公式の core パッケージと AUR にあるパッケージの変更点:

{| class="wikitable"
! 名前 !! 状態とコメント
|-
| linux, linux-lts, linux-zen, linux-hardened || [[#SELinuxのLSMを有効化|lsm=のカーネルパラメーター]が必要]
|-
| coreutils || {{ic|--with-selinux}} フラグを使って libselinux とリンクしてリビルドする必要があります。
|-
| cronie || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| dbus || {{ic|--enable-libaudit}} と {{ic|--enable-selinux}} フラグを使ってリビルドする必要があります。
|-
| findutils || libselinux をインストールしてリビルドを行なって SELinux-specific オプションを有効にします。
|-
| iproute2 || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| logrotate || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| openssh || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| pam || Linux-PAM のために {{ic|--enable-selinux}} フラグを使ってリビルドする必要があります。pam_unix2 のパッチが必要で、最近のバージョンの libselinux で実装されている関数を削除します。
|-
| pambase || 設定を変更して {{ic|/etc/pam.d/system-login}} に pam_selinux.so を追加します。
|-
| psmisc || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| shadow || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
| sudo || {{ic|--enable-selinux}} フラグを使ってリビルドする必要があります。
|-
| systemd || {{ic|--enable-audit}} と {{ic|--enable-selinux}} フラグを使ってリビルドする必要があります。
|-
| util-linux || {{ic|--with-selinux}} フラグを使ってリビルドする必要があります。
|-
|}

他の SELinux 関連のパッケージはおそらく変更を加えずに安全に使うことができます。

==強制アクセス制御==

{{Note|このセクションはビギナーのために書かれています。SELinux が何でどういう仕組みで動作するのか知っている場合は、インストールの項にスキップしてください。}}

SELinux を有効にする前に、SELinux が何をするのか理解したほうが良いでしょう。簡単に言うと、SELinux は Linux で''強制アクセス制御 (Mandatory Access Control, MAC)'' を実施します。SELinux と対比するように、伝統的なユーザー/グループ/rwx のパーミッションは一種の''任意アクセス制御 (Discretionary Access Control, DAC)''です。MAC は DAC と異なり、セキュリティポリシーとその実行が完全に区別されています。

例として ''sudo'' コマンドの使用が挙げられます。DAC が使用されている場合、sudo は root への一時的な権限昇格を許可し、プロセスはシステム全体に制限なくアクセスできるようになります。しかしながら、MAC を使用した場合、プロセスがアクセスできる特定のファイルセットをセキュリティ管理者が指定しておけば、どんな権限昇格を用いたとしても、セキュリティポリシーが変わらないかぎり、プロセスがアクセスできるファイルは制限されます。そのため、SELinux が動作しているマシンで ''sudo'' を使ってポリシーが許可しないファイルにアクセスしようとしても、アクセスは不可能です。

他の例としては、ファイルに与えられる伝統的な (-rwxr-xr-x) タイプのパーミッションがあります。DAC の下では、パーミッションはユーザーによって変更できます。しかしながら、MAC の下では、セキュリティ管理者が特定のファイルのパーミッションを凍結することが可能です。ファイルに関連するポリシーが変更されないかぎり、ファイルのパーミッションをユーザーが変更することは不可能になります。

このことが、ウェブサーバーなど、危険にさらされる可能性のあるプロセスで特に有用なのは想像に難くないでしょう。DAC が使われている場合、権限昇格ができるプログラムを奪取されて大損害を被る危険が十分あるのです。

もっと詳しい情報は、Wikipedia の [[Wikipedia:ja:強制アクセス制御|MAC]] のページを見て下さい。

==SELinux のインストール==

===パッケージの説明===

SELinux 関連のパッケージは全て、AUR の ''selinux'' グループに含まれています。これらのいずれかを自分でインストールしようとする前に[[#インストール]]を読んで完全なインストールのために推奨されるオプションを確認してください。

====SELinux 対応のシステムユーティリティ====

;{{AUR|coreutils-selinux}}
:SELinux のサポートを有効にしてコンパイルされた修正版 coreutils パッケージ。{{pkg|coreutils}} パッケージを置き換えます。

;{{AUR|cronie-selinux}}
:SELinux が有効になっている Vixie cron の Fedora フォーク。{{pkg|cronie}} パッケージを置き換えます。

;{{AUR|dbus-selinux}}
:SELinux 対応版の [[D-Bus]]。{{pkg|dbus}} パッケージを置き換えます。

;{{AUR|findutils-selinux}}
:指定したセキュリティコンテキストを使ってファイルの検索をできるようにするため SELinux のサポートを有効にしてコンパイルされたパッチ済みの findutils パッケージ。{{pkg|findutils}} パッケージを置き換えます。

;{{AUR|iproute2-selinux}}
:SELinux のサポートを有効にしてコンパイルされた iproute2 パッケージ。{{ic|ss}} の {{ic|-Z}} オプションを追加するなどの修正があります。{{pkg|iproute2}} パッケージを置き換えます。

;{{AUR|logrotate-selinux}}
:SELinux のサポートを有効にしてコンパイルされた Logrotate パッケージ。{{pkg|logrotate}} パッケージを置き換えます。

;{{AUR|openssh-selinux}}
:SELinux のサポートを有効にしてコンパイルされ、ユーザーセッションのセキュリティコンテキストを設定する [[OpenSSH]] パッケージ。{{pkg|openssh}} パッケージを置き換えます。

;{{AUR|pam-selinux}} と {{AUR|pambase-selinux}}
:pam_selinux.so が入った PAM パッケージとそのベースパッケージ。それぞれ {{pkg|pam}} と {{pkg|pambase}} パッケージを置き換えます。

;{{AUR|psmisc-selinux}}
:SELinux サポートを有効にしてコンパイルされた Psmisc パッケージ。例えば、{{ic|killall}} に {{ic|-Z}} オプションを追加します。{{pkg|psmisc}} パッケージを置き換えます。

;{{AUR|shadow-selinux}}
:SELinux サポートを有効にしてコンパイルされた Shadow パッケージ。ログイン後のユーザーに適切なセキュリティコンテキストを設定するように修正された {{ic|/etc/pam.d/login}} ファイルが含まれています。{{pkg|shadow}} パッケージを置き換えます。

;{{AUR|sudo-selinux}}
:適切にセキュリティコンテキストを設定する SELinux サポートを有効にしてコンパイルされた修正版 [[sudo]] パッケージ。{{pkg|sudo}} パッケージを置き換えます。

;{{AUR|systemd-selinux}}
:SELinux 対応版の [[Systemd]]。{{pkg|systemd}} パッケージを置き換えます。

;{{AUR|util-linux-selinux}}
:SELinux のサポートを有効にしてコンパイルされた修正版 util-linux パッケージ。{{pkg|util-linux}} パッケージを置き換えます。

====SELinux のユーザースペースユーティリティ====
;{{AUR|checkpolicy}}
:SELinux ポリシーを作成するためのツール。

;{{AUR|mcstrans}}
:libselinux によって MCS ラベルを変換するのに使われるデーモン。

;{{AUR|libselinux}}
:セキュリティが求められるアプリケーションのためのライブラリ。''semanage'' と ''setools'' に必要な Python バインディングが含まれています。

;{{AUR|libsemanage}}
:ポリシー管理のためのライブラリ。''semanage'' と ''setools'' に必要な Python バインディングが含まれています。

;{{AUR|libsepol}}
:バイナリポリシーの操作のためのライブラリ。

;{{AUR|policycoreutils}}
:newrole や setfiles などの SELinux のコアユーティリティ。

;{{AUR|restorecond}}
:ファイルのラベルを管理するデーモン。

;{{AUR|secilc}}
:CIL (共通中間言語) で書かれた SELinux ポリシーのコンパイラ。

;{{AUR|selinux-dbus-config}}
:SELinux の設定を管理できる DBus サービス。

;{{AUR|selinux-gui}}
:SELinux の GUI ツール (system-config-selinux)。

;{{AUR|selinux-python}} と {{AUR|selinux-python2}}
:SELinux の python ツールとライブラリ (semanage, sepolgen, sepolicy など)。

;{{AUR|selinux-sandbox}}
:SELinux のサンドボックスツール。

;{{AUR|semodule-utils}}
:ポリシーをビルドするときに SELinux モジュールを処理するツール。

====SELinux のポリシーパッケージ====

;{{AUR|selinux-refpolicy-src}}
:リファレンスポリシーのソース。

;{{AUR|selinux-refpolicy-git}}
:Arch Linux 用の設定でビルドされるリファレンスポリシーの git マスター (https://github.com/TresysTechnology/refpolicy)。

;{{AUR|selinux-refpolicy-arch}}
:コンパイル済みモジュールのリファレンスポリシー。ヘッダーやドキュメントは付いていますがソースは付いていません。Arch Linux の Refpolicy パッチが含まれており、パスのラベリングと systemd サポートに関連する問題を修正します。パッチは Reference Policy メンテナにも送られており、{{AUR|selinux-refpolicy-arch}} に含まれることで Refpolicy リリースのアップデートが行われます。

====その他の SELinux のツール====

;{{AUR|setools}}
:SELinux を管理するための CLI と GUI ツール。

;{{AUR|selinux-alpm-hook}}
:パッケージのインストール・アップデート時に SELinux ポリシーにあわせてファイルをラベリングする pacman フック。

=== インストール ===

必要な SELinux パッケージをインストールする方法は2つあります。

==== GitHubのバイナリを使用 ====

全てのパッケージは非公式ユーザーリポジトリ(https://wiki.archlinux.org/title/Unofficial_user_repositories#selinux)で入手可能です。''base''パッケージはシステムインストールの{{ic|arch-bootstrap}}段階で''base-selinux''に置き換え可能です。

{{Warning|現状、このリポジトリでは署名付きパッケージを提供していないため、ダウンロードしたバイナリはpacmanによって検証されません。これにはセキュリティ上のリスクが伴います。十分注意してください。}}

==== GitHubのビルドスクリプトを使用 ====

このリポジトリには {{ic|build_and_install_all.sh}} という名前のスクリプトが含まれており、全てのパッケージを正しい順番でビルド・インストール (あるいはアップデート) します。以下はユーザーシェルでスクリプトを使って全てのパッケージをインストールする例です (GPG 鍵をダウンロードしてパッケージのソース tarball を検証します):

$ git clone https://github.com/archlinuxhardened/selinux
$ cd selinux
$ ./recv_gpg_keys.sh
$ ./build_and_install_all.sh

もちろん、スクリプトを実行する前に {{ic|build_and_install_all.sh}} の中身を変更することもできます。例えば既に SELinux のサポートが有効になっているカーネルを使っている場合などに変更を加えます。

==== AUR を使用 ====

* まず、SELinux のユーザースペースツールとライブラリをインストールしてください。依存関係があるため順番通りに行う必要があります。: {{AUR|libsepol}}, {{AUR|libselinux}}, {{AUR|checkpolicy}}, {{AUR|secilc}}, {{AUR|setools}}, {{AUR|libsemanage}}, {{AUR|semodule-utils}}, {{AUR|policycoreutils}}, {{AUR|selinux-python}} ({{Pkg|python-ipy}}) が必要), {{AUR|mcstrans}}, {{AUR|restorecond}}。
* 次に {{AUR|pambase-selinux}} と {{AUR|pam-selinux}} をインストールして、インストール完了後にユーザーのログインができることを確認します。{{pkg|pambase}} が {{AUR|pambase-selinux}} で置き換えられるときに、{{ic|/etc/pam.d/}} のファイルが削除されて、作成されなおすためです。
* その後、コアパッケージを再コンパイルするために以下のパッケージをインストールします。: {{AUR|coreutils-selinux}}, {{AUR|findutils-selinux}}, {{AUR|iproute2-selinux}}, {{AUR|logrotate-selinux}}, {{AUR|openssh-selinux}}, {{AUR|psmisc-selinux}}, {{AUR|shadow-selinux}}, {{AUR|cronie-selinux}}。
* そして、{{ic|/etc/sudoers}} ファイルをバックアップします。{{AUR|sudo-selinux}} をインストールしてから {{ic|/etc/sudoers}} を元に戻してください ({{pkg|sudo}} を置き換えるときにファイルが上書きされます)。
* 次は util-linux と systemd です。修正できない循環依存が存在するため ({{bug|39767}})、{{AUR|systemd-selinux}} のソースパッケージをビルドしてから、{{AUR|systemd-libs-selinux}}をインストールして、{{AUR|util-linux-selinux}}を{{AUR|util-linux-libs-selinux}}と一緒にビルドしてインストールし、そして {{AUR|systemd-selinux}} を再ビルドして再インストールします。
* それから、{{AUR|dbus-selinux}} をインストールしてください。
* その後、{{AUR|selinux-alpm-hook}} をインストールして pacman でパッケージをインストールするたびに restorecon が実行されるようにします。

上記の手順が全て終わったら、SELinux カーネル ({{Pkg|linux}}などとポリシー({{AUR|selinux-refpolicy-arch}} や {{AUR|selinux-refpolicy-git}} など) をインストールします。

=== SELinuxのLSMを有効化 ===

起動時にSELinuxをデフォルトのセキュリティモデルとして有効にするには、次の[[カーネルパラメータ]]が必要です。:

lsm=landlock,lockdown,yama,integrity,selinux,bpf

{{Note|The {{ic|1=lsm=}}カーネルパラメーターはLinuxセキュリティモジュールの初期化順序を設定します。カーネルに設定された{{ic|1=lsm=}}の値は{{ic|1=zgrep CONFIG_LSM= /proc/config.gz}}で見つけることができ、現在の値は{{ic|cat /sys/kernel/security/lsm}}で見ることができます。

=== カスタムカーネル ===

[[カーネル/Arch_build_system#.E3.82.B3.E3.83.B3.E3.83.91.E3.82.A4.E3.83.AB|カーネルをコンパイル]]するときには少なくとも以下のオプションを設定する必要があります。:

CONFIG_SECURITY_SELINUX=y
CONFIG_AUDIT=y

SELinuxをデフォルトで有効にし、カーネルパラメータの設定を省略するには、加えて{{ic|CONFIG_LSM}}を有効にし、リストの最初の"major"モジュールとして{{ic|selinux}}を設定します。:

CONFIG_LSM="landlock,lockdown,yama,integrity,selinux,bpf"

===PAM の確認===

ログイン後に適切なセキュリティコンテキストを得るために [[PAM]] を正しく設定する必要があります。以下の行が {{ic|/etc/pam.d/system-login}} に存在するか確認してください:

{{bc|# pam_selinux.so close should be the first session rule
session required pam_selinux.so close}}

{{bc|# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open}}

===ポリシーのインストール===

{{Warning|[https://github.com/SELinuxProject/refpolicy/wiki SELinuxProject] によるリファレンスポリシーはあまり Arch Linux に適しているとは言えません。、ポリシーを改善するパッチを投稿している人の多くが他のディストリビューション (Debian, Gentoo, RHEL など) を使っているため、Arch Linux パッケージとの互換性は完璧ではありません (例えばプログラムの新しい機能をポリシーがサポートしていない場合があります)。}}

ポリシーは SELinux の基幹です。ポリシーによって SELinux の挙動は左右されます。AURで利用可能な唯一のポリシーはリファレンスポリシーだけです。リファレンスポリシーをインストールするには、{{AUR|selinux-refpolicy-src}} パッケージから取得するか https://github.com/SELinuxProject/refpolicy/wiki/DownloadRelease#current-release から最新のリリースをダウンロードすることができます。AUR のパッケージを使う場合、{{ic|/etc/selinux/refpolicy/src/policy}} まで移動して以下のコマンドを実行してリファレンスポリシーをインストールしてください:

# make bare
# make conf
# make install

SELinux ポリシーの書き方を知っているならば上記のコマンドを実行する前に存分にポリシーを調整することができます。コマンドはしばらく時間がかかりジョブを実行してシステムの1つのコアに負担をかけます、心配は要りません。のんびりと構えてコマンドを実行させておいて下さい。

リファレンスポリシーをロードするには次を実行:

# make load

そして、以下の内容で {{ic|/etc/selinux/config}} ファイルを作成してください (上記のデフォルト設定を使用する場合。ポリシーの名前を変更したときは、ファイルを修正する必要があります):

{{hc|/etc/selinux/config|2=
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# Set this value once you know for sure that SELinux is configured the way you like it and that your system is ready for deployment
# permissive - SELinux prints warnings instead of enforcing.
# Use this to customise your SELinux policies and booleans prior to deployment. Recommended during policy development.
# disabled - No SELinux policy is loaded.
# This is not a recommended setting, for it may cause problems with file labelling
SELINUX=permissive
# SELINUXTYPE= takes the name of SELinux policy to
# be used. Current options are:
# refpolicy (vanilla reference policy)
# <custompolicy> - Substitute <custompolicy> with the name of any custom policy you choose to load
SELINUXTYPE=refpolicy
}}

ここで、再起動が必要です。再起動したら、次を実行してファイルシステムにラベルを付けて下さい:

# restorecon -r /

その後、以下の内容で {{ic|requiredmod.te}} ファイルを作成します:

{{hc|requiredmod.te|2=
module requiredmod 1.0;

require {
type devpts_t;
type kernel_t;
type device_t;
type var_run_t;
type udev_t;
type hugetlbfs_t;
type udev_tbl_t;
type tmpfs_t;
class sock_file write;
class unix_stream_socket { read write ioctl };
class capability2 block_suspend;
class dir { write add_name };
class filesystem associate;
}

#============= devpts_t ==============
allow devpts_t device_t:filesystem associate;

#============= hugetlbfs_t ==============
allow hugetlbfs_t device_t:filesystem associate;

#============= kernel_t ==============
allow kernel_t self:capability2 block_suspend;

#============= tmpfs_t ==============
allow tmpfs_t device_t:filesystem associate;

#============= udev_t ==============
allow udev_t kernel_t:unix_stream_socket { read write ioctl };
allow udev_t udev_tbl_t:dir { write add_name };
allow udev_t var_run_t:sock_file write;</nowiki>}}

そして以下のコマンドを実行してください:

{{bc|<nowiki># checkmodule -m -o requiredmod.mod requiredmod.te
# semodule_package -o requiredmod.pp -m requiredmod.mod
# semodule -i requiredmod.pp</nowiki>}}

上記の設定はリファレンスポリシーで発生する厄介なメッセージを {{ic|/var/log/audit/audit.log}} から削除するために必要です。汚いハックであり、正しくないラベリングの影響を隠すためにリファレンスポリシーにパッチをあてることを明確にするべきです。

===Vagrant 仮想マシンでテスト===

[[Vagrant]] を使うことで SELinux が設定された Arch Linux の仮想マシンをプロビジョニングできます。現在の環境に影響を与えないで Arch Linux の SELinux を簡単にテストすることが可能です。以下のコマンドを使用してテストしてください:

$ git clone <nowiki>https://github.com/archlinuxhardened/selinux</nowiki>
$ cd selinux/_vagrant
$ vagrant up
$ vagrant ssh

==インストール後の作業==

SELinux が動作しているかは {{ic|sestatus}} で確認できます。以下のように表示されるはずです:

{{bc|
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: refpolicy
Current mode: permissive
Mode from config file: permissive
Policy MLS status: disabled
Policy deny_unknown status: allowed
Max kernel policy version: 28
}}

コンテキストを適切に維持するために、{{ic|restorecond.service}}を有効にできます:

# systemctl enable restorecond

再起動しないで enforcing モードに切り替えたい場合、次のコマンドを使います:

# echo 1 > /sys/fs/selinux/enforce

===スワップファイル===

スワップパーティションの代わりにスワップファイルを使う場合、適切なセキュリティコンテキストを設定するために次のコマンドを実行してください:

# semanage fcontext -a -t swapfile_t "''/path/to/swapfile''"
# restorecon ''/path/to/swapfile''

==SELinux の使い方==

SELinux は伝統的な Unix のアクセス制御とは異なる方法でセキュリティを定義します。SELinux を理解するにはサンプルを見るのが一番です。例えば、apache のホームページの SELinux セキュリティコンテキストは以下のようになります:

$ls -lZ /var/www/html/index.html
-rw-r--r-- username username system_u:object_r:httpd_sys_content_t /var/www/html/index.html

最初の3つと最後のカラムは (Arch) Linux ユーザーなら誰でも見覚えがあるはずです。新しいのは4番目のカラムであり以下のフォーマットになっています:

user:role:type[:level]

それぞれを説明すると:
#'''User:''' SELinux のユーザー識別子。SELinux ユーザーが使用することができる複数のロールに関連付けることができます。
#'''Role:''' SELinux のロール。SELinux ユーザーがアクセスすることができる複数のタイプに関連付けることができます。
#'''Type:''' プロセスにタイプが関連付けられると、SELinux ユーザー (サブジェクト) がアクセスできるプロセスが (ドメイン) が決定します。タイプがオブジェクトと関連付けられた場合、SELinux がオブジェクトにアクセスする際のパーミッションが決まります。
#'''Level:''' ポリシーが MCS や MLS をサポートしている場合にのみ使用する任意のフィールドです。範囲とも呼びます。

これが重要になるのは、自分でポリシーを作成して、SELinux の基本的な構成要素にしたいという場合です。ほとんどの場合リファレンスポリシーで十分間に合うので、理解する必要はありません。ただし、あなたがパワーユーザーであり何か特別な必要性があるのであれば、自ら SELinux のポリシーを作成する方法を学ぶ絶好の機会でしょう。

SELinux の仕組みを理解したい人には [http://www.fosteringlinux.com/tag/selinux/ こちら] のシリーズを読むのをおすすめします。

==トラブルシューティング==

SELinux のエラーは systemd の [[journal]] で確認できます。例えば {{ic|system_u:system_r:policykit_t:s0}} ラベルに関する SELinux のメッセージを表示するには、次を実行:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

===便利なツール===

SELinux を補助するツール/コマンドがいくつか存在します。

;restorecon: ポリシールールに基づいてファイル/ディレクトリのコンテキストを付け直す ({{ic|-R}} を付けると再帰的に実行)。
;chcon: 指定したファイルのコンテキストを変更。

===問題の報告===

問題の報告は GitHub でしてください: https://github.com/archlinuxhardened/selinux/issues

==参照==
*[[wikipedia:ja:Security-Enhanced Linux|Security Enhanced Linux]]
*[https://fedoraproject.org/wiki/SELinux Fedora プロジェクトの SELinux Wiki]
*[https://www.nsa.gov/what-we-do/research/selinux/ NSA の SELinux 公式ホームページ]
* [http://userspace.selinuxproject.org/ SELinux のユーザー空間ホームページ]
**[http://oss.tresys.com/projects/refpolicy リファレンスポリシーのホームページ]
**[http://oss.tresys.com/projects/setools SETools ホームページ]
*[https://web.archive.org/web/20140816115906/http://jamesthebard.net/archlinux-selinux-and-you-a-trip-down-the-rabbit-hole/ ArchLinux, SELinux and You (アーカイブ)]