「SELinuxの現状:使いやすさの改善が進むSELinux」では、Apacheの難解なポリシーが紹介されていました。「高度なセキュリティ」という高い山を目指すならば、かなり詳細に意味を理解する必要があるでしょう。しかし、「とりあえず使う」分には、そこまで必要ありません。
デフォルト設定からあまり変更せずにサーバアプリケーションを使う場合には、デフォルトで用意されているポリシー設定を、ほぼそのまま使えます。実際、わたしがFedora Core 4で、メールおよびDNSサーバのテスト環境を構築した際も、ほとんどポリシーを触らずに動作させることができました。
もちろん、ある程度ポリシーの修正が必要な場合もあります。しかし、「とりあえず動く」ポリシーを目指すなら、実はそれほど多くの知識は必要ありません。
わたしは、ここ2年ほど高度職業能力開発促進センター(高度ポリテクセンター)で2日間のSELinux教育セミナーを行っています。このセミナーでは、実習を中心として、多少高度な設定の方法までを扱っていますが、基本知識だけなら1日で十分です。
SELinuxの基礎知識については、書籍や雑誌、Web記事などがありますので、手に入れる手段はこと欠かないでしょう。また、何か困った場合でも、SELinuxユーザー会のMLなどを利用することでその多くは解決するでしょう。もちろん、効率的に知識を取得するために、11月にサイオスへと社名を変更する予定のテンアートニなどが行っている教育セミナーに参加するのも1つの手です。
「とりあえず動く」ポリシー設定は、当然のことながら低いセキュリティしか実現しません。従って、より高いセキュリティを実現するために、ポリシー設定の見直しと修正が必要です。
また、一度の見直しと修正だけでは不十分です。必要十分なポリシー設定にコストが掛かるという側面もありますが、修正時には分からなかった設定ミスが、後から分かってくることもあるからです。
従って、下図のように、定期的にポリシーを見直しおよび修正を行い、徐々にセキュリティの高いポリシー設定に変えていくアプローチがベストです。
ただし、特に強固に守らなければいけないところや、頻度の高いポリシーの見直しと修正が困難なところは、このアプローチでも難しいかもしれません。高度な知識や情報、経験が必要になり、人的コストや時間的コストがかかります。
その場合には、各社が用意しているSELinuxサービスやソリューションを利用した方が、より迅速かつ高度なセキュリティを実現できます。また、総コストを考えた場合、結果として低く抑えられるでしょう。わたしが所属する日立ソフトでもSELinuxを利用した「セキュアLinuxソリューション」を提供しています。ぜひ参考にしてください。
SELinuxを最大限に活用しようとすると大変ですが、「とりあえず動く」ことを目指せば、それほど難しくはないですし、一定の効果もあります。RHEL4などSELinux Readyなディストリビューションを利用している方は、まずSELinuxの有効化にチャレンジしてみてはいかがでしょうか。
次回は、SELinuxの使いどころなど、SELinuxの意義についてもう少し考えてみたいと思います。
Copyright © ITmedia, Inc. All Rights Reserved.