SELinux 管理
SELinux が Linux システム上でどのように強制アクセス制御(Mandatory Access Control)を適用しているのか、その仕組みを学びます。モード、ファイルコンテキスト、ブーリアン(Booleans)、復元操作、そして拒否ログのトラブルシューティングを通じて、エンタープライズ Linux 環境において最も重要なセキュリティ層の一つである SELinux を実践的に習得します。
なぜ重要なのか
サービスがファイルにアクセスできなかったり、ポートにバインドできなかったりすると、SELinux が原因とされることがよくありますが、無効化することは決して正しい解決策ではありません。運用担当者は、SELinux のラベル、ポリシー、ブーリアンがシステムの挙動にどのような影響を与えるかを理解し、セキュリティを低下させることなくアクセス問題を解決する必要があります。これらのスキルは、ポリシーの適用がプラットフォームのベースラインの一部となっている本番環境において特に重要です。
学習内容
- SELinux のモード(Enforcing、Permissive、Disabled)の意味と違いを理解する。
- ポリシーを意識した管理の一環として、ファイルコンテキストを調査・管理する。
- ラベルがポリシーのデフォルトから逸脱した場合に、正しいコンテキストへ復元する。
- SELinux ブーリアンを管理し、許可される挙動を安全に調整する。
- セキュリティ制御を盲目的に回避するのではなく、拒否メッセージを調査して原因を特定する。
- これらのスキルを、カスタムポートサービス・チャレンジを通じて実践する。
コースのロードマップ
本コースは、ポリシーの適用がシステムの挙動をどのように変えるかを理解するため、SELinux モードの解説から始まります。次に、SELinux がサービスやプロセスのアクセス可否を判断する上で中心的な役割を果たす「ファイルコンテキスト」について学びます。
続いて、誤ったラベルが付与されたファイルをポリシー通りの状態に戻すための「コンテキストの復元」を扱います。その後、一般的なサービスやシナリオにおいて、ポリシーに基づいた挙動を安全に調整するための「SELinux ブーリアン」を操作します。
最後のラボでは「拒否ログのトラブルシューティング」に焦点を当て、SELinux がなぜアクションをブロックしたのかを解明する方法を学びます。コースの締めくくりとして、ポート、ラベル、ポリシーの論理を組み合わせて現実的なサービス設定を行う「カスタムポートサービス・チャレンジ」に挑戦します。
対象読者
本コースは、安全でないショートカットに頼ることなく SELinux を適切に管理する必要がある、エンタープライズ環境の Linux 学習者およびシステム管理者を対象としています。
学習目標
本コースを修了すると、SELinux の状態確認、一般的なラベル付けの問題の修正、ブーリアンによる挙動の調整、そしてポリシーによる拒否のトラブルシューティングを、より規律正しく、本番環境でも安全な方法で行えるようになります。
