SELinuxとは何ですか？

Linuxカーネルに組み込まれた強制アクセス制御（MAC）のセキュリティモジュール。通常のパーミッション（DAC）に加えて、プロセスごとに細かいアクセス制限をかけて侵入被害を最小化します。

SELinuxのポイントは？

強制アクセス制御（MAC）により、rootでもポリシーに従ったアクセス制限を受ける。Enforcing（強制）・Permissive（警告のみ）・Disabled（無効）の3モード。RHEL/CentOS系で標準有効化されており、セキュリティ基準の準拠に重要。「とりあえずDisabled」は最大のアンチパターン

【エスイーリナックス】

SELinux とは？

💡 万が一の侵入でも被害を最小限に食い止めるボディガード

📌 このページのポイント

強制アクセス制御（MAC）により、rootでもポリシーに従ったアクセス制限を受ける
Enforcing（強制）・Permissive（警告のみ）・Disabled（無効）の3モード
RHEL/CentOS系で標準有効化されており、セキュリティ基準の準拠に重要
「とりあえずDisabled」は最大のアンチパターン

SELinux のポリシー適用のイメージ

ひよこ

SELinuxってよく「無効にしろ」って書いてあるけど、何が大変なの？

ペンギン先生

SELinuxはプロセスごとに「何のファイルにアクセスできるか」を厳密に制御するんだ。だから正しく設定しないとアプリが動かなくなることがある。でも「とりあえず無効」は最悪の対処法だよ。

ひよこ

通常のパーミッション（rwxとか）と何が違うの？

ペンギン先生

通常のパーミッション（DAC）はユーザーベースの制御だけど、SELinux（MAC）はプロセスベースの制御なんだ。たとえばWebサーバーが乗っ取られても、SELinuxのポリシーでWebサーバーがアクセスできるファイルが限定されていれば、被害をそのプロセスの範囲に封じ込められるよ。

ひよこ

Permissiveモードって何に使うの？

ペンギン先生

ポリシー違反を検出してログに記録するけど、実際にはブロックしないモードだよ。新しいアプリを導入するときに、まずPermissiveで動かしてどんなアクセスが必要か調査し、ポリシーを調整してからEnforcingに切り替えるのが正しい手順なんだ。

ひよこ

トラブルが起きたときはどうデバッグするの？

ペンギン先生

/var/log/audit/audit.log にSELinuxの拒否ログが記録されるから、ausearchやsealertコマンドで分析するよ。audit2allowを使えば、拒否されたアクセスを許可するポリシーモジュールを自動生成できる。確かにSELinuxは学習コストが高いけど、PCI DSSなどのセキュリティ基準ではMACが求められるし、本当にサーバーを守りたいなら避けて通れない技術だよ。

まとめ：ざっくりこれだけ覚えればOK！

「SELinux」って出てきたら「Linuxの強制アクセス制御で被害を最小化する仕組み」と思えればだいたいOK！

📖 おまけ：英語の意味

「Security-Enhanced Linux」＝セキュリティ強化Linux

💬 アメリカ国家安全保障局（NSA）が開発に関わったセキュリティ機能だよ

← 用語集にもどる