SELinuxは今すぐ使えるのか?(2/2 ページ)

» 2006年10月27日 08時00分 公開
[才所秀明(日立ソフト),ITmedia]
前のページへ 1|2       

SELinuxを「とりあえず使う」は簡単か?

 「SELinuxの現状:使いやすさの改善が進むSELinux」では、Apacheの難解なポリシーが紹介されていました。「高度なセキュリティ」という高い山を目指すならば、かなり詳細に意味を理解する必要があるでしょう。しかし、「とりあえず使う」分には、そこまで必要ありません。

 デフォルト設定からあまり変更せずにサーバアプリケーションを使う場合には、デフォルトで用意されているポリシー設定を、ほぼそのまま使えます。実際、わたしがFedora Core 4で、メールおよびDNSサーバのテスト環境を構築した際も、ほとんどポリシーを触らずに動作させることができました。

 もちろん、ある程度ポリシーの修正が必要な場合もあります。しかし、「とりあえず動く」ポリシーを目指すなら、実はそれほど多くの知識は必要ありません。

 わたしは、ここ2年ほど高度職業能力開発促進センター(高度ポリテクセンター)で2日間のSELinux教育セミナーを行っています。このセミナーでは、実習を中心として、多少高度な設定の方法までを扱っていますが、基本知識だけなら1日で十分です。

 SELinuxの基礎知識については、書籍や雑誌、Web記事などがありますので、手に入れる手段はこと欠かないでしょう。また、何か困った場合でも、SELinuxユーザー会のMLなどを利用することでその多くは解決するでしょう。もちろん、効率的に知識を取得するために、11月にサイオスへと社名を変更する予定のテンアートニなどが行っている教育セミナーに参加するのも1つの手です。

「とりあえず動く」ポリシー設定の次には

 「とりあえず動く」ポリシー設定は、当然のことながら低いセキュリティしか実現しません。従って、より高いセキュリティを実現するために、ポリシー設定の見直しと修正が必要です。

 また、一度の見直しと修正だけでは不十分です。必要十分なポリシー設定にコストが掛かるという側面もありますが、修正時には分からなかった設定ミスが、後から分かってくることもあるからです。

 従って、下図のように、定期的にポリシーを見直しおよび修正を行い、徐々にセキュリティの高いポリシー設定に変えていくアプローチがベストです。

SELinuxの運用もPDCAサイクルで

 ただし、特に強固に守らなければいけないところや、頻度の高いポリシーの見直しと修正が困難なところは、このアプローチでも難しいかもしれません。高度な知識や情報、経験が必要になり、人的コストや時間的コストがかかります。

 その場合には、各社が用意しているSELinuxサービスやソリューションを利用した方が、より迅速かつ高度なセキュリティを実現できます。また、総コストを考えた場合、結果として低く抑えられるでしょう。わたしが所属する日立ソフトでもSELinuxを利用した「セキュアLinuxソリューション」を提供しています。ぜひ参考にしてください。

最後に

 SELinuxを最大限に活用しようとすると大変ですが、「とりあえず動く」ことを目指せば、それほど難しくはないですし、一定の効果もあります。RHEL4などSELinux Readyなディストリビューションを利用している方は、まずSELinuxの有効化にチャレンジしてみてはいかがでしょうか。

 次回は、SELinuxの使いどころなど、SELinuxの意義についてもう少し考えてみたいと思います。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

あなたにおすすめの記事PR