2010年12月12日日曜日

メモ::SElinux on Debian lenny

Debian lennyではデフォルトではSElinuxがインストールされてはいるがactiveになってない。

これをactivateにするには

 apt-get install selinux-basics selinux-policy-default


して


selinux-activateを実行して再起動


ちなみにSElinuxとはセキュアOSの一種であり、ファイアウォールなどとは別種のコンセプトに基づくセキュリティシステムのようなものだと理解している。

SElinuxでは各プロセス(root権限のものも含む)とファイルやディレクトリなどのリソースに「ラベル」が張られることにより、プロセスごとにアクセスできるリソースに制限をかけることができる。


したがって、例えばセキュリティホールの穴を通ってやってきた侵入者に対して、例えばWebサーバに侵入されroot権限を奪取されてしまった場合でも、その状態からアクセスできるリソースはHTTPに限ったものになる、という防御手段を取ることが出来るわけだ。

0 件のコメント: