SELinuxは今すぐ使えるのか?(2/2 ページ)
SELinuxなどのセキュアOSは、その重要性に比してあまり利用されていない。設定の難しさなどが敷居を高めているが、実際のところ、SELinuxは「とりあえず使う」だけでも一定の効果がある。SELinuxをマスターするための第一歩としてご覧頂きたい。
SELinuxを「とりあえず使う」は簡単か?
「SELinuxの現状:使いやすさの改善が進むSELinux」では、Apacheの難解なポリシーが紹介されていました。「高度なセキュリティ」という高い山を目指すならば、かなり詳細に意味を理解する必要があるでしょう。しかし、「とりあえず使う」分には、そこまで必要ありません。
デフォルト設定からあまり変更せずにサーバアプリケーションを使う場合には、デフォルトで用意されているポリシー設定を、ほぼそのまま使えます。実際、わたしがFedora Core 4で、メールおよびDNSサーバのテスト環境を構築した際も、ほとんどポリシーを触らずに動作させることができました。
もちろん、ある程度ポリシーの修正が必要な場合もあります。しかし、「とりあえず動く」ポリシーを目指すなら、実はそれほど多くの知識は必要ありません。
わたしは、ここ2年ほど高度職業能力開発促進センター(高度ポリテクセンター)で2日間のSELinux教育セミナーを行っています。このセミナーでは、実習を中心として、多少高度な設定の方法までを扱っていますが、基本知識だけなら1日で十分です。
SELinuxの基礎知識については、書籍や雑誌、Web記事などがありますので、手に入れる手段はこと欠かないでしょう。また、何か困った場合でも、SELinuxユーザー会のMLなどを利用することでその多くは解決するでしょう。もちろん、効率的に知識を取得するために、11月にサイオスへと社名を変更する予定のテンアートニなどが行っている教育セミナーに参加するのも1つの手です。
「とりあえず動く」ポリシー設定の次には
「とりあえず動く」ポリシー設定は、当然のことながら低いセキュリティしか実現しません。従って、より高いセキュリティを実現するために、ポリシー設定の見直しと修正が必要です。
また、一度の見直しと修正だけでは不十分です。必要十分なポリシー設定にコストが掛かるという側面もありますが、修正時には分からなかった設定ミスが、後から分かってくることもあるからです。
従って、下図のように、定期的にポリシーを見直しおよび修正を行い、徐々にセキュリティの高いポリシー設定に変えていくアプローチがベストです。
ただし、特に強固に守らなければいけないところや、頻度の高いポリシーの見直しと修正が困難なところは、このアプローチでも難しいかもしれません。高度な知識や情報、経験が必要になり、人的コストや時間的コストがかかります。
その場合には、各社が用意しているSELinuxサービスやソリューションを利用した方が、より迅速かつ高度なセキュリティを実現できます。また、総コストを考えた場合、結果として低く抑えられるでしょう。わたしが所属する日立ソフトでもSELinuxを利用した「セキュアLinuxソリューション」を提供しています。ぜひ参考にしてください。
最後に
SELinuxを最大限に活用しようとすると大変ですが、「とりあえず動く」ことを目指せば、それほど難しくはないですし、一定の効果もあります。RHEL4などSELinux Readyなディストリビューションを利用している方は、まずSELinuxの有効化にチャレンジしてみてはいかがでしょうか。
次回は、SELinuxの使いどころなど、SELinuxの意義についてもう少し考えてみたいと思います。
関連記事
- SELinuxの現状:使いやすさの改善が進むSELinux
SELinuxは優れたセキュリティ強度を提供してくれるが、その設定の困難さ故か、SELinuxは使いにくいかのようなレッテルが貼られている。しかし、現状を見ると、2つのアプローチによって大きく変わりつつあることが分かる。 - もう難しいとは言わせない、SELinuxのGUIツールが装いも新たに登場
SELinux Policy Editor Projectは、新しいGUIを備え、利便性およびセキュリティを大幅に向上した「SELinux Policy Editor 2.0」をGPLにてリリースした。 - セキュリティ上当然のことを、日本SELinuxユーザー会中村雄一氏コラム
Copyright © ITmedia, Inc. All Rights Reserved.