SELinuxの現状:使いやすさの改善が進むSELinux(3/3 ページ)
SELinuxは優れたセキュリティ強度を提供してくれるが、その設定の困難さ故か、SELinuxは使いにくいかのようなレッテルが貼られている。しかし、現状を見ると、2つのアプローチによって大きく変わりつつあることが分かる。
SELinux Policy Editor
開発元のアプローチだけでは、すべての問題を解決することはできない。例えば、ポリシーの書式は、以前と変わらないため、カスタマイズや設定内容の理解も難しいままである。
開発元とは違ったアプローチを試みているのが、SELinux Policy Editorというツールである。SELinux Policy Editorは、Sourceforgeにおいて開発が進んでいる。このツールは、SELinuxの簡易設定書式「SPDL」にて、簡略化を図っている。従来1000以上あった設定書式も10種類程度に抑え、さらに直感的に分かりやすい書式を採用している(表2)。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
表2:ApacheのポリシーをSPDLで記述。Apacheにホームページへのアクセス許可、TCP80番ポートへのアクセスが許可されていることがすぐ分かる
これに加え、GUIツールを用意することで、さらなる使い勝手向上を図っている。下の画面は、設定の自動生成ツールの画面だ。足りない設定をワンクリックで生成することができる。
設定書式を省くことで、SELinuxのアクセス制御機能も同時に省かれてしまう。従って、セキュリティレベルが普通のSELinuxより低下する恐れがある。これに対して、必要に応じて設定書式を追加できるようにして対処している。例えば、デフォルトでは、RBAC(Role Based Access Control:役割ベースのアクセス制御)の設定書式が省かれているため、RBAC機能の設定ができず、ログインユーザーの保護ができない。これについては、オプションとしてRBACの設定書式が実装されている。
今後にますます期待
AppArmorの登場は、SELinux陣営にとって好ましくないものだったようだが、結果として、これが競争を促進し、SELinuxの使い勝手向上の動きが加速している。Red Hat Enterprise Linuxの次期バージョンのリリースを視野に入れた開発が進んでいると思われるため、この半年ぐらいで大きな進歩が期待できるのではないだろうか。
関連記事
- 日立ソフトの中村氏が語る、SELinuxのメリットと限界
「第1回セキュアOSカンファレンス」に日立ソフトウェアエンジニアリングの中村雄一氏が登場。オープンソースのセキュアOS「SELinux」のメリットと限界について語った。 - もう難しいとは言わせない、SELinuxのGUIツールが装いも新たに登場
SELinux Policy Editor Projectは、新しいGUIを備え、利便性およびセキュリティを大幅に向上した「SELinux Policy Editor 2.0」をGPLにてリリースした。 - セキュリティ上当然のことを、日本SELinuxユーザー会中村雄一氏コラム
- Firefoxの最新状況
- OpenOffice.orgの現状
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.