SELinux/ja

SELinuxは、セキュリティ管理者がユーザがなにができてなにができないかを決定できるようにする、より細かいアクセス制御強制アクセス制御システムです. Linuxにおける標準の任意アクセス制御(すなわちエンドユーザが共有するべきでないファイルを共有したり、他のユーザがその人の所有するファイルに書きこめるようにできるなど)と違い、強制アクセス制御は完全にセキュリティポリシーによって制御されます.

SELinuxは標準の任意アクセスコントロール(DAC)と一緒に動作します. つまり、DACによる制御がまず行なわれ、DACが動作を許可すればSELinuxが同様に動作を確認します. SELinuxではプロセスは「ドメイン」というものの中で動作します. それぞれのドメインにどのリソース(プロセス、他のドメイン、ファイル、権限、ファイルコンテキスト、セマフォ、メッセージなど)にどんなことができるかの権限が設定されています.

Gentoo サポート
Gentooプロジェクトでは、SELinuxはGentoo Hardenedプロジェクトによってもサポートされています. しかし、SELinuxを使うのにhardenedプロファイルを使う必要はありません. (hardenedのツールチェインを使わずにSELinuxを有効にすることができます. )

Gentoo Hardened SELinux リソース
SELinuxと戦う助けとなるドキュメントをリストアップします. これらのドキュメントはGentooのSELinuxサブプロジェクトでメンテナンスされています.


 * Gentoo Hardened SELinux Handbook
 * SELinuxの簡単な紹介
 * インストール(移行)ガイド
 * 様々なSELinuxの管理コマンドの紹介
 * Gentoo HardenedとSELinuxのFAQ
 * SELinux Policyの制限
 * Gentoo Hardened SELinuxチュートリアル

この他にも開発に関連したドキュメントもあります. Gentoo HardenedのSELinuxサポートの開発に興味がある方はこのドキュメトを参考にしてください.


 * Gentoo Hardened SELinux Development Guide
 * Reporting SELinux policy bugs
 * Gentoo Hardened SELinux Development Policy
 * Gentoo Hardened SELinux Roadmap (might be outdated)

SELinux ポリシーモジュール
SELinux uses a modular approach on its policies. Core permissions are contained within the "base" policy whereas additional privileges are defined in SELinux modules. You can list the currently loaded SELinux modules through semodule -l. As a policy module contains definitions (what domains are provided by the module, which resources are labeled and how are they labeled), privileges (what interactions are allowed), optional privileges (which are triggered through SELinux booleans) and more, it is sometimes warranted to have a more elaborate document on the specifics of that module.

Below you'll find a list of documented modules.


 * apache is the SELinux module to support web servers like apache or lighttpd
 * bind is the SELinux module to support the named domain server
 * chromium is the SELinux module to support the chromium browser
 * cron is the SELinux module for the various cron domains (like vixie-cron)
 * ldap is the SELinux module for OpenLDAP
 * portage is the SELinux module offering support for Gentoo's portage and portage-related tools (like gcc-config, eselect, ...)