Security-Enhanced Linux

Security-Enhanced Linux (SELinux) は、Linuxカーネルに強制アクセス制御 (MAC: Mandatory Access Control) を実装するセキュリティモジュールです。米国国家安全保障局 (NSA) が開発し、オープンソースとして公開されました。SELinuxは、Linuxシステムのセキュリティを強化し、プロセスやユーザーがアクセスできるリソースを細かく制御します。

ウィキペディアにSecurity-Enhanced Linuxの記事があります。

ウィキペディアに強制アクセス制御の記事があります。

ウィキペディアに任意アクセス制御の記事があります。

1. 強制アクセス制御 (MAC):
   • 従来のLinuxの任意アクセス制御 (DAC: Discretionary Access Control) に加え、SELinuxはシステム全体のセキュリティポリシーに基づいてアクセスを制御します。
   • ユーザーやプロセスがリソースにアクセスする際、SELinuxのポリシーに従って許可または拒否されます。
2. 最小権限の原則:
   • プロセスやユーザーに必要な最小限の権限のみを付与し、不要なアクセスを防ぎます。
3. ポリシーベースの制御:
   • セキュリティポリシーを定義し、それに基づいてアクセス制御を行います。ポリシーは柔軟にカスタマイズ可能です。
4. ドメインとタイプの概念:
   • プロセスは「ドメイン」、リソースは「タイプ」に分類され、ドメインがタイプにアクセスできるかどうかをポリシーで制御します。

SELinuxには以下の動作モードがあります：

• Enforcing: ポリシーを適用し、違反を拒否します。
• Permissive: ポリシー違反をログに記録しますが、アクセスは許可します。
• Disabled: SELinuxが無効化されます。

• セキュリティの強化: システムリソースへのアクセスを厳密に制御し、不正アクセスや悪意のある動作を防ぎます。
• 監査とロギング: アクセス拒否やポリシー違反を詳細に記録し、監査や分析に役立ちます。
• 柔軟なポリシー管理: システムの要件に応じてポリシーをカスタマイズできます。

• サーバーセキュリティ: Webサーバーやデータベースサーバーなど、重要なシステムのセキュリティを強化します。
• マルチユーザー環境: ユーザーやプロセス間のリソースアクセスを厳密に制御します。
• コンプライアンス要件: セキュリティ基準を満たすために使用されます。

• Red Hat Enterprise Linux (RHEL)
• CentOS
• Fedora

SELinuxは、特にセキュリティが重要な環境で広く利用されています。