SELinux/ja

SELinuxは、セキュリティ管理者がユーザがなにができてなにができないかを決定できるようにする、より細かいアクセス制御強制アクセス制御システムです. Linuxにおける標準の任意アクセス制御(すなわちエンドユーザが共有するべきでないファイルを共有したり、他のユーザがその人の所有するファイルに書きこめるようにできるなど)と違い、強制アクセス制御は完全にセキュリティポリシーによって制御されます.

SELinuxは標準の任意アクセスコントロール(DAC)と一緒に動作します. つまり、DACによる制御がまず行なわれ、DACが動作を許可すればSELinuxが同様に動作を確認します. SELinuxではプロセスは「ドメイン」というものの中で動作します. それぞれのドメインにどのリソース(プロセス、他のドメイン、ファイル、権限、ファイルコンテキスト、セマフォ、メッセージなど)にどんなことができるかの権限が設定されています.

Gentoo サポート
GentooプロジェクトではSELinuxはGentoo Hardenedプロジェクトによってサポートされています. しかし、SELinuxを使うのにhardenedプロファイルを使う必要はありません. (hardenedのツールチェインを使わずにSELinuxを有効にすることができます. )

Gentoo Hardened SELinux リソース
SELinuxと戦う助けとなるドキュメントをリストアップします. これらのドキュメントはGentooのSELinuxサブプロジェクトでメンテナンスされています.


 * Gentoo Hardened SELinux Handbook
 * Gives a quick introduction to SELinux
 * Contains the installation (migration) instructions
 * Gives a first taste of the various SELinux administrative commands
 * Gentoo Hardened and SELinux Frequently Asked Questions
 * SELinux Policy Constraints
 * Gentoo Hardened SELinux Tutorials

There is also some development-related documentation, in case you are interested in contributing to the SELinux support in Gentoo Hardened.


 * Gentoo Hardened SELinux Development Guide
 * Reporting SELinux policy bugs
 * Gentoo Hardened SELinux Development Policy
 * Gentoo Hardened SELinux Roadmap (might be outdated)

SELinux Policy Modules
SELinux uses a modular approach on its policies. Core permissions are contained within the "base" policy whereas additional privileges are defined in SELinux modules. You can list the currently loaded SELinux modules through semodule -l. As a policy module contains definitions (what domains are provided by the module, which resources are labeled and how are they labeled), privileges (what interactions are allowed), optional privileges (which are triggered through SELinux booleans) and more, it is sometimes warranted to have a more elaborate document on the specifics of that module.

Below you'll find a list of documented modules.


 * apache is the SELinux module to support web servers like apache or lighttpd
 * bind is the SELinux module to support the named domain server
 * chromium is the SELinux module to support the chromium browser
 * cron is the SELinux module for the various cron domains (like vixie-cron)
 * ldap is the SELinux module for OpenLDAP
 * portage is the SELinux module offering support for Gentoo's portage and portage-related tools (like gcc-config, eselect, ...)