SELinuxとは

SELinuxとは、Linuxのカーネルに強制アクセス制御機能を加えるモジュール。Security-Enhanced Linuxの略称である。SELinuxはアメリカ国家安全保障局が主体となり開発された。

従来のLinuxではすべての権限がrootに集中しており、root権限が奪取されるとシステムに致命的な被害を及ぼす問題があった。SELinuxはType Enforcement（TE）とロールベースアクセス制御（RBAC）で制御を行い、rootにも制限をかけ、不正侵入の被害を極力少なくするように設計されている。

Type Enforcement（TE）

すべてのプロセスに対してドメイン、リソースに対してタイプというラベルを付与して読み書きに対して制限をかける仕組み。

ロールベースアクセス制御（RBAC）

ユーザにロールと呼ばれる管理権限を設定し、ロールの権限で許される操作のみが実行できるようにする仕組み。rootにも適用されるためrootに対して禁止操作を設定することができる。

SELinuxはRed Hatを中心としたRed Hat Enterprise Linux、Fedora、CentOSで標準的にインストールされる。その他にもDebian、Turbolinuxなどのディストリビューションでも利用することができる。 最近のOSではデフォルトでSELinuxが有効となるケースも多く、SELinuxが有効な状態で運用することを前提とした設計がされており、SELinuxを無効にするだけでセキュリティレベルが落ちてしまう。

SELinuxのポリシーはモジュール化されており、独自のモジュールを作成することで、SELinuxに対応していないソフトウェアにもポリシーを適用することができる。 最近のOSではSELinuxを有効にしたまま運用しやすいようにも改良がされており、標準的に多くのポリシーがインストールされる。そのため、リソースに対して正しいラベルを付与したり、booleanの値のみで調整できる場合がほとんどである。モジュールを作成するためのツールも充実しており、SELinuxを積極的に利用することを推奨する。