selinuxを勉強しているものです。CentOSでのselinuxのroot権限の有無をwebで色々調べるとroot権限が存在しない、という意味合いの記事をたくさん見つけました。しかし、自分の手元にあるselinuxが適用されたcentos7で調べてみるとrootユーザーは存在しますし、全ての操作ができるように見えるので、root権限を与えられたrootユーザは存在しているように見えました。
そこで自分なりに考えてみました。要するにselinuxを適用したシステムにおいてroot権限が存在しないというのは
- 各プロセスがドメイン遷移の効果で最小限のプロセス権限で動いているのでroot権限で動いているプロセスが存在しない、ということ
- selinuxを適用してもroot権限は存在するが、特にwebからの不正侵入による被害を最小限の権限しか持たないプロセスに限定することができる
というこでよいのでしょうか??
これを前提とした場合に例えば、ユーザのパスワードやrootのパスワードが漏洩してしまうと、侵入される可能性があり、システム侵入後は普通にシャットダウンや、ファイルの削除、パスワードの変更などなど、システムを乗っ取ることができるということで良いのでしょうか??
追加質問
下記の場合
# semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * # semanage user -l Labeling MLS/ MLS/ SELinux User Prefix MCS Level MCS Range SELinux Roles guest_u user s0 s0 guest_r root user s0 s0-s0:c0.c1023 staff_r sysadm_r system_r unconfined_r staff_u user s0 s0-s0:c0.c1023 staff_r sysadm_r system_r unconfined_r sysadm_u user s0 s0-s0:c0.c1023 sysadm_r system_u user s0 s0-s0:c0.c1023 system_r unconfined_r unconfined_u user s0 s0-s0:c0.c1023 system_r unconfined_r user_u user s0 s0 user_r xguest_u user s0 s0 xguest_r
-
作成した覚えは無いのですが、system_u というログインユーザーは存在するんでしょうか??これはどういった役割のユーザなのでしょうか??rootがrootでその他のユーザは__default__なのはわかります。
-
unconfined_u と system_u に紐付いているロールが共に同じなのですが、デフォルトではselinuxのユーザのロールによる権限分割されていないのでしょうか??
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/02/21 02:05