SELinux
Security-Enhanced Linux
Linuxのアプリ単位でアクセス制限を加えてセキュリティを向上する仕組み
https://docs.redhat.com/ja/documentation/red_hat_enterprise_linux/9/html/using_selinux/index
標準のLinux
任意アクセス制御 Discretionary Access Control (DAC)
SELinux
強制アクセス制御 Mandatory Access Control (MAC)
DAC適用後にMACが適用される DACで無効(禁止)ならMACは使わない
アカウントとアクセス権で制限していたところに加えて
プロセスとファイルにラベル付けをして許可しているアクセスのみ利用可能
Tomcat と相性が悪く外されることも多いが使い方次第
/lib/systemd/system や /etc/systemd/system に systemdの設定があったりなかったりするので ReadWritePaths などを適度に設定する
設定ファイル
code:/etc/selinux/config
# このファイルはシステム上の SELinux の状態を制御します。
# SELINUX= には次の3つの値のいずれかを指定できます:
# enforcing - SELinux セキュリティポリシーが適用されます。
# permissive - SELinux は、適用する代わりに警告を表示します。
# disabled - SELinux ポリシーはロードされません。
SELINUX=disabled
# SELINUXTYPE= には次の2つのいずれかを指定できます:
# targeted - 対象プロセスが保護されます。
# mls - マルチレベルセキュリティ保護。
SELINUXTYPE=targeted
コマンド
確認
# getenforce
Enforcing 有効
Permissive 確認モード
Disabled 無効
# sestatus
RedHat Enterprise Linux 9 SELinux
https://docs.redhat.com/ja/documentation/red_hat_enterprise_linux/9/html/using_selinux/index