「SELinux」の版間の差分

Security-Enhanced Linux (SELinux) は Linux カーネルの Linux Security Module (LSM) を使って、アメリカ国防総省式の強制アクセス制御などの様々なセキュリティポリシーを提供する Linux の機能です。Linux ディストリビューションではなく、むしろ Linux や BSD などの Unix ライクなオペレーティングシステムに使うことができる改造セットと言えます。

Linux ディストリビューションで SELinux を動かすには3つのことが必要です: SELinux が有効になったカーネル、SELinux のユーザースペースツールとライブラリ、そして SELinux のポリシー (大半はリファレンスポリシーがベース) です。また、SELinux 機能を有効にするパッチをあててコンパイルする必要がある Linux プログラムも存在します。

Arch Linux における現在の状態

Arch Linux におけるそれぞれの要素の現状:

公式の core パッケージと AUR にあるパッケージの変更点:

他の SELinux 関連のパッケージは変更を加えずに安全に使うことができます。

強制アクセス制御

SELinux を有効にする前に、SELinux が何をするのか理解したほうが良いでしょう。簡単に言うと、SELinux は Linux で強制アクセス制御 (Mandatory Access Control, MAC) を実施します。SELinux と対比するように、伝統的なユーザー/グループ/rwx のパーミッションは一種の任意アクセス制御 (Discretionary Access Control, DAC)です。MAC は DAC と異なり、セキュリティポリシーとその実行が完全に区別されています。

例として sudo コマンドの使用が挙げられます。DAC が使用されている場合、sudo は root への一時的な権限昇格を許可し、プロセスはシステム全体に制限なくアクセスできるようになります。しかしながら、MAC を使用した場合、プロセスがアクセスできる特定のファイルセットをセキュリティ管理者が指定しておけば、どんな権限昇格を用いたとしても、セキュリティポリシーが変わらないかぎり、プロセスがアクセスできるファイルは制限されます。そのため、SELinux が動作しているマシンで sudo を使ってポリシーが許可しないファイルにアクセスしようとしても、アクセスは不可能です。

他の例としては、ファイルに与えられる伝統的な (-rwxr-xr-x) タイプのパーミッションがあります。DAC の下では、パーミッションはユーザーによって変更できます。しかしながら、MAC の下では、セキュリティ管理者が特定のファイルのパーミッションを凍結することが可能です。ファイルに関連するポリシーが変更されないかぎり、ファイルのパーミッションをユーザーが変更することは不可能になります。

このことが、ウェブサーバーなど、危険にさらされる可能性のあるプロセスで特に有用なのは想像に難くないでしょう。DAC が使われている場合、権限昇格ができるプログラムを奪取されて大損害を被る危険が十分あるのです。

もっと詳しい情報は、Wikipedia の MAC のページを見て下さい。

SELinux のインストール

パッケージ

SELinux 関連のパッケージは全て、AUR の selinux グループに含まれています。

SELinux 対応のシステムユーティリティ

coreutils-selinux^AUR

SELinux のサポートを有効にしてコンパイルされた修正版 coreutils パッケージ。coreutils パッケージを置き換えます。

ustr-selinux^AUR

libsemanage^AUR をビルドするのに必要なパッチがあてられた ustr パッケージ。最近の gcc で動作しない ustr パッケージを置き換えます (FS#46445)。

pam-selinux^AUR と pambase-selinux^AUR

pam_selinux.so が入った PAM パッケージとそのベースパッケージ。それぞれ pam と pambase パッケージを置き換えます。

util-linux-selinux^AUR

SELinux のサポートを有効にしてコンパイルされた修正版 util-linux パッケージ。util-linux パッケージを置き換えます。

systemd-selinux^AUR

SELinux 対応版の Systemd。systemd パッケージを置き換えます。

dbus-selinux^AUR

SELinux 対応版の D-Bus。dbus パッケージを置き換えます。

findutils-selinux^AUR

指定したセキュリティコンテキストを使ってファイルの検索をできるようにするため SELinux のサポートを有効にしてコンパイルされたパッチ済みの findutils パッケージ。findutils パッケージを置き換えます。

iproute2-selinux^AUR

SELinux のサポートを有効にしてコンパイルされた iproute2 パッケージ。ss の -Z オプションを追加するなどの修正があります。iproute2 パッケージを置き換えます。

psmisc-selinux^AUR

SELinux サポートを有効にしてコンパイルされた Psmisc パッケージ。例えば、killall に -Z オプションを追加します。psmisc パッケージを置き換えます。

shadow-selinux^AUR

SELinux サポートを有効にしてコンパイルされた Shadow パッケージ。ログイン後のユーザーに適切なセキュリティコンテキストを設定するように修正された /etc/pam.d/login ファイルが含まれています。shadow パッケージを置き換えます。

sudo-selinux^AUR

適切にセキュリティコンテキストを設定する SELinux サポートを有効にしてコンパイルされた修正版 sudo パッケージ。sudo パッケージを置き換えます。

cronie-selinux^AUR

SELinux を有効にした Vixie cron の Fedora フォーク。cronie パッケージを置き換えます。

logrotate-selinux^AUR

SELinux サポートを有効にしてコンパイルされた Logrotate パッケージ。logrotate パッケージを置き換えます。

openssh-selinux^AUR

ユーザーセッションのセキュリティコンテキストを設定するように SELinux サポートを有効にしてコンパイルされた OpenSSH パッケージ。openssh パッケージを置き換えます。

SELinux のユーザースペースユーティリティ

checkpolicy^AUR

SELinux ポリシーを作成するためのツール。

mcstrans^AUR

libselinux によって MCS ラベルを変換するのに使われるデーモン。

libselinux^AUR

セキュリティが求められるアプリケーションのためのライブラリ。semanage と setools に必要な Python バインディングが含まれています。

libsemanage^AUR

ポリシー管理のためのライブラリ。semanage と setools に必要な Python バインディングが含まれています。

libsepol^AUR

バイナリポリシーの操作のためのライブラリ。

policycoreutils^AUR

newrole や setfiles などの SELinux のコアユーティリティ。

restorecond^AUR

ファイルのラベルを管理するデーモン。

secilc^AUR

CIL (共通中間言語) で書かれた SELinux ポリシーのコンパイラ。

selinux-dbus-config^AUR

SELinux の設定を管理できる DBus サービス。

selinux-gui^AUR

SELinux の GUI ツール (system-config-selinux)。

selinux-python^AUR と selinux-python2^AUR

SELinux の python ツールとライブラリ (semanage, sepolgen, sepolicy など)。

selinux-sandbox^AUR

SELinux のサンドボックスツール。

semodule-utils^AUR

ポリシーをビルドするときに SELinux モジュールを処理するツール。

SELinux のポリシーパッケージ

selinux-refpolicy-src^AUR

リファレンスポリシーのソース。

selinux-refpolicy-git^AUR

Arch Linux 用の設定でビルドされるリファレンスポリシーの git マスター (https://github.com/TresysTechnology/refpolicy)。

selinux-refpolicy-arch^AUR

コンパイル済みモジュールのリファレンスポリシー。ヘッダーやドキュメントは付いていますがソースは付いていません。Arch Linux の Refpolicy パッチが含まれており、パスのラベリングと systemd サポートに関連する問題を修正します。パッチは Reference Policy メンテナにも送られており、selinux-refpolicy-arch^AUR に含まれることで Refpolicy リリースのアップデートが行われます。

その他の SELinux のツール

setools^AUR

SELinux を管理するための CLI と GUI ツール。

selinux-alpm-hook^AUR

パッケージのインストール・アップデート時に SELinux ポリシーにあわせてファイルをラベリングする pacman フック。

インストール

カーネルの準備

SELinux の使用をサポートしているファイルシステムは ext2, ext3, ext4, JFS, XFS, Btrfs だけです。Arch のデフォルトカーネルでは SELinux LSM が有効になっていません。Arch Linux でパッケージになっているカーネル (linux) を使っている場合、SELinux の設定オプションが追加された AUR パッケージが存在します: linux-selinux^AUR。カスタムカーネルを使用する場合は、コンフィグで Xattr (Extended Attributes), CONFIG_AUDIT, CONFIG_SECURITY_SELINUX を有効にするようにしてください (ソース: Debian Wiki)。

Linux 4.3.3 で SELinux を使うのに有効にしなくてはならないオプションの完全なリストは以下の通り:

config.selinux-custom

CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_WATCH=y
CONFIG_AUDIT_TREE=y
CONFIG_NETLABEL=y
CONFIG_IP_NF_SECURITY=m
CONFIG_IP6_NF_SECURITY=m
CONFIG_NETFILTER_XT_TARGET_AUDIT=m
CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y
CONFIG_NFSD_V4_SECURITY_LABEL=y
CONFIG_SECURITY=y
CONFIG_SECURITY_NETWORK=y
CONFIG_SECURITY_PATH=y
CONFIG_LSM_MMAP_MIN_ADDR=65536
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_DISABLE=y
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
CONFIG_SECURITY_SELINUX_ENABLE_SECMARK_DEFAULT=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_DEFAULT_SECURITY_SELINUX=y

必要な SELinux パッケージをインストールする方法は2つあります。

AUR を使用

• まず、SELinux のユーザースペースツールとライブラリをインストールしてください。順番は次の通りです (依存関係があるため順番を守る必要があります): libsepol^AUR, libselinux^AUR, secilc^AUR, checkpolicy^AUR, setools^AUR, libsemanage^AUR, semodule-utils^AUR, policycoreutils^AUR, selinux-python^AUR (python-ipy^AUR) が必要), mcstrans^AUR, restorecond^AUR。
• 次に pambase-selinux^AUR と pam-selinux^AUR をインストールして、インストール完了後にユーザーのログインができることを確認します。pambase が pambase-selinux^AUR で置き換えられるときに、/etc/pam.d/ のファイルが削除されて、作成されなおすためです。
• その後、次のパッケージをインストールしてコアパッケージを再コンパイルしてください: coreutils-selinux^AUR, findutils-selinux^AUR, iproute2-selinux^AUR, logrotate-selinux^AUR, openssh-selinux^AUR, psmisc-selinux^AUR, shadow-selinux^AUR, cronie-selinux^AUR。
• そして、/etc/sudoers ファイルをバックアップします。sudo-selinux^AUR をインストールしてから /etc/sudoers を元に戻してください (sudo を置き換えるときにファイルが上書きされます)。
• 次は util-linux と systemd です。修正できない循環依存が存在するため (FS#39767)、ソースパッケージ systemd-selinux^AUR をビルドしてから、libsystemd-selinux^AUR をインストールして、util-linux-selinux^AUR (と libutil-linux-selinux^AUR) をビルド・インストールし、それから systemd-selinux^AUR を再ビルド・インストールします。
• それから、dbus-selinux^AUR をインストールしてください。
• その後、selinux-alpm-hook^AUR をインストールして pacman でパッケージをインストールするたびに restorecon が実行されるようにします。

上記の手順が全て終わったら、SELinux カーネル (linux-selinux^AUR など) とポリシー (selinux-refpolicy-arch^AUR や selinux-refpolicy-git^AUR など) をインストールします。

GitHub リポジトリを使用

全てのパッケージは https://github.com/archlinuxhardened/selinux でメンテナンスされています。このリポジトリには build_and_install_all.sh という名前のスクリプトが含まれており、全てのパッケージを正しい順番でビルド・インストール (あるいはアップデート) します。以下はユーザーシェルでスクリプトを使って全てのパッケージをインストールする例です (GPG 鍵をダウンロードしてパッケージのソース tarball を検証します):

$ git clone https://github.com/archlinuxhardened/selinux
$ cd selinux
$ ./recv_gpg_keys.sh
$ ./build_and_install_all.sh

もちろん、スクリプトを実行する前に build_and_install_all.sh の中身を変更することもできます。例えば既に SELinux のサポートが有効になっているカーネルを使っている場合などに変更を加えます。

ブートローダーの設定の変更

新しいカーネルをインストールしたら、ブートローダーの設定を更新してください。

GRUB

/etc/default/grub の GRUB_CMDLINE_LINUX_DEFAULT 変数に security=selinux selinux=1 を追加して次のコマンドを実行:

# grub-mkconfig -o /boot/grub/grub.cfg

Syslinux

syslinux.cfg ファイルを編集して一番最後に以下を追加:

/boot/syslinux/syslinux.cfg

LABEL arch-selinux
         LINUX ../vmlinuz-linux-selinux
         APPEND root=/dev/sda2 ro security=selinux selinux=1
         INITRD ../initramfs-linux-selinux.img

"linux-selinux" は使用するカーネルにあわせて適当に変更してください。

systemd-boot

新しいローダーエントリを作成します (例: /boot/loader/entries/arch-selinux.conf):

/boot/loader/entries/arch-selinux.conf

title Arch Linux SELinux
linux /vmlinuz-linux-selinux
initrd /initramfs-linux-selinux.img
options root=/dev/sda2 ro selinux=1 security=selinux

PAM の確認

ログイン後に適切なセキュリティコンテキストを得るために PAM を正しく設定する必要があります。以下の行が /etc/pam.d/system-login に存在するか確認してください:

# pam_selinux.so close should be the first session rule
session         required        pam_selinux.so close

# pam_selinux.so open should only be followed by sessions to be executed in the user context
session         required        pam_selinux.so open

ポリシーのインストール

ポリシーは SELinux の基幹です。ポリシーによって SELinux の挙動は左右されます。現在 AUR にはリファレンスポリシーだけが存在します。リファレンスポリシーをインストールするには、ソースファイルを使う必要があり、selinux-refpolicy-src^AUR パッケージから取得するか https://github.com/TresysTechnology/refpolicy/wiki/DownloadRelease#current-release から最新のリリースをダウンロードすることができます。AUR のパッケージを使う場合、/etc/selinux/refpolicy/src/policy まで移動して以下のコマンドを実行してリファレンスポリシーをインストールしてください:

# make bare
# make conf
# make install

SELinux ポリシーの書き方を知っているならば上記のコマンドを実行する前に存分にポリシーを調整することができます。コマンドはしばらく時間がかかりジョブを実行してシステムの1つのコアに負担をかけます、心配は要りません。のんびりと構えてコマンドを実行させておいて下さい。

リファレンスポリシーをロードするには次を実行:

# make load

そして、以下の内容で /etc/selinux/config ファイルを作成してください (上記のデフォルト設定を使用する場合。ポリシーの名前を変更したときは、ファイルを修正する必要があります):

/etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#                   Set this value once you know for sure that SELinux is configured the way you like it and that your system is ready for deployment
#       permissive - SELinux prints warnings instead of enforcing.
#                    Use this to customise your SELinux policies and booleans prior to deployment. Recommended during policy development.
#       disabled - No SELinux policy is loaded.
#                  This is not a recommended setting, for it may cause problems with file labelling
SELINUX=permissive
# SELINUXTYPE= takes the name of SELinux policy to
# be used. Current options are:
#       refpolicy (vanilla reference policy)
#       <custompolicy> - Substitute <custompolicy> with the name of any custom policy you choose to load
SELINUXTYPE=refpolicy

ここで、再起動が必要です。再起動したら、次を実行してファイルシステムにラベルを付けて下さい:

# restorecon -r /

その後、以下の内容で requiredmod.te ファイルを作成します:

requiredmod.te

module requiredmod 1.0;

require {
        type devpts_t;
        type kernel_t;
        type device_t;
        type var_run_t;
        type udev_t;
        type hugetlbfs_t;
        type udev_tbl_t;
        type tmpfs_t;
        class sock_file write;
        class unix_stream_socket { read write ioctl };
        class capability2 block_suspend;
        class dir { write add_name };
        class filesystem associate;
}

#============= devpts_t ==============
allow devpts_t device_t:filesystem associate;

#============= hugetlbfs_t ==============
allow hugetlbfs_t device_t:filesystem associate;

#============= kernel_t ==============
allow kernel_t self:capability2 block_suspend;

#============= tmpfs_t ==============
allow tmpfs_t device_t:filesystem associate;

#============= udev_t ==============
allow udev_t kernel_t:unix_stream_socket { read write ioctl };
allow udev_t udev_tbl_t:dir { write add_name };
allow udev_t var_run_t:sock_file write;

そして以下のコマンドを実行してください:

# checkmodule -m -o requiredmod.mod requiredmod.te
# semodule_package -o requiredmod.pp -m requiredmod.mod
# semodule -i requiredmod.pp

上記の設定はリファレンスポリシーで発生する厄介なメッセージを /var/log/audit/audit.log から削除するために必要です。汚いハックであり、正しくないラベリングの影響を隠すためにリファレンスポリシーにパッチをあてることを明確にするべきです。

Vagrant 仮想マシンでテスト

Vagrant を使うことで SELinux が設定された Arch Linux の仮想マシンをプロビジョニングできます。現在の環境に影響を与えないで Arch Linux の SELinux を簡単にテストすることが可能です。以下のコマンドを使用してテストしてください:

$ git clone https://github.com/archlinuxhardened/selinux
$ cd selinux/_vagrant
$ vagrant up
$ vagrant ssh

インストール後の作業

SELinux が動作しているかは sestatus で確認できます。以下のように表示されるはずです:

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             refpolicy
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              disabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

コンテキストを適切に維持するには、restorecond を使います:

# systemctl enable restorecond

再起動しないで enforcing モードに切り替えたい場合、次のコマンドを使います:

# echo 1 > /sys/fs/selinux/enforce

スワップファイル

スワップパーティションの代わりにスワップファイルを使う場合、適切なセキュリティコンテキストを設定するために次のコマンドを実行してください:

# semanage fcontext -a -t swapfile_t "/path/to/swapfile"
# restorecon /path/to/swapfile

SELinux の使い方

SELinux は伝統的な Unix のアクセス制御とは異なる方法でセキュリティを定義します。SELinux を理解するにはサンプルを見るのが一番です。例えば、apache のホームページの SELinux セキュリティコンテキストは以下のようになります:

$ls -lZ /var/www/html/index.html
-rw-r--r--  username username system_u:object_r:httpd_sys_content_t /var/www/html/index.html

最初の3つと最後のカラムは (Arch) Linux ユーザーなら誰でも見覚えがあるはずです。新しいのは4番目のカラムであり以下のフォーマットになっています:

user:role:type[:level]

それぞれを説明すると:

1. User: SELinux のユーザー識別子。SELinux ユーザーが使用することができる複数のロールに関連付けることができます。
2. Role: SELinux のロール。SELinux ユーザーがアクセスすることができる複数のタイプに関連付けることができます。
3. Type: プロセスにタイプが関連付けられると、SELinux ユーザー (サブジェクト) がアクセスできるプロセスが (ドメイン) が決定します。タイプがオブジェクトと関連付けられた場合、SELinux がオブジェクトにアクセスする際のパーミッションが決まります。
4. Level: ポリシーが MCS や MLS をサポートしている場合にのみ使用する任意のフィールドです。範囲とも呼びます。

これが重要になるのは、自分でポリシーを作成して、SELinux の基本的な構成要素にしたいという場合です。ほとんどの場合リファレンスポリシーで十分間に合うので、理解する必要はありません。ただし、あなたがパワーユーザーであり何か特別な必要性があるのであれば、自ら SELinux のポリシーを作成する方法を学ぶ絶好の機会でしょう。

SELinux の仕組みを理解したい人には こちら のシリーズを読むのをおすすめします。

トラブルシューティング

SELinux のエラーは systemd の journal で確認できます。例えば system_u:system_r:policykit_t:s0 ラベルに関する SELinux のメッセージを表示するには、次を実行:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

便利なツール

SELinux を補助するツール/コマンドがいくつか存在します。

restorecon

ポリシールールに基づいてファイル/ディレクトリのコンテキストを付け直す (-R を付けると再帰的に実行)。

chcon

指定したファイルのコンテキストを変更。

問題の報告

問題の報告は GitHub でしてください: https://github.com/archlinuxhardened/selinux/issues

参照

• Security Enhanced Linux
• Fedora プロジェクトの SELinux Wiki
• NSA の SELinux 公式ホームページ
• SELinux のユーザー空間ホームページ
  • リファレンスポリシーのホームページ
  • SETools ホームページ
• ArchLinux, SELinux and You (アーカイブ)