SELinuxの現状：使いやすさの改善が進むSELinux（3/3 ページ）

[中村雄一（日立ソフトウェアエンジニアリング），ITmedia]

SELinux Policy Editor

　開発元のアプローチだけでは、すべての問題を解決することはできない。例えば、ポリシーの書式は、以前と変わらないため、カスタマイズや設定内容の理解も難しいままである。

　開発元とは違ったアプローチを試みているのが、SELinux Policy Editorというツールである。SELinux Policy Editorは、Sourceforgeにおいて開発が進んでいる。このツールは、SELinuxの簡易設定書式「SPDL」にて、簡略化を図っている。従来1000以上あった設定書式も10種類程度に抑え、さらに直感的に分かりやすい書式を採用している（表2）。

{
domain httpd_t;
program /usr/sbin/htttpd;
…
allow /var/www/** r;
allownet -protocol tcp -port 80 server;
…

表2：ApacheのポリシーをSPDLで記述。Apacheにホームページへのアクセス許可、TCP80番ポートへのアクセスが許可されていることがすぐ分かる

　これに加え、GUIツールを用意することで、さらなる使い勝手向上を図っている。下の画面は、設定の自動生成ツールの画面だ。足りない設定をワンクリックで生成することができる。

図2：SELinux Policy Editorのポリシー自動生成画面

　設定書式を省くことで、SELinuxのアクセス制御機能も同時に省かれてしまう。従って、セキュリティレベルが普通のSELinuxより低下する恐れがある。これに対して、必要に応じて設定書式を追加できるようにして対処している。例えば、デフォルトでは、RBAC（Role Based Access Control:役割ベースのアクセス制御）の設定書式が省かれているため、RBAC機能の設定ができず、ログインユーザーの保護ができない。これについては、オプションとしてRBACの設定書式が実装されている。

今後にますます期待

　AppArmorの登場は、SELinux陣営にとって好ましくないものだったようだが、結果として、これが競争を促進し、SELinuxの使い勝手向上の動きが加速している。Red Hat Enterprise Linuxの次期バージョンのリリースを視野に入れた開発が進んでいると思われるため、この半年ぐらいで大きな進歩が期待できるのではないだろうか。