UbuntuはデフォルトでSELinuxを使用していますか?そうでない場合、セキュリティコンテキストはどのように管理されますか?たとえば、セキュリティコンテキストなしでプロセスをrootとして実行できるようにすると、セキュリティリスクが発生する可能性があります。
SELinuxのについてヘルプページには、 SELinuxが手動でインストールする必要のあるプログラムがあることを示唆しています。
では、Ubuntuはそのままの状態でセキュリティコンテキストをどのように処理するのでしょうか。
UbuntuはデフォルトでSELinuxを使用していますか?そうでない場合、セキュリティコンテキストはどのように管理されますか?たとえば、セキュリティコンテキストなしでプロセスをrootとして実行できるようにすると、セキュリティリスクが発生する可能性があります。
SELinuxのについてヘルプページには、 SELinuxが手動でインストールする必要のあるプログラムがあることを示唆しています。
では、Ubuntuはそのままの状態でセキュリティコンテキストをどのように処理するのでしょうか。
回答:
Ubuntuは、SELinuxの代替であるAppArmorを使用しています。
ウィキペディアは、なぜAppArmorがSELinuxよりも優れていると考える人がいるのかについてのヒントを示しています。
AppArmorは、一部はSELinuxの代替として提供されており、批評家は、管理者がセットアップして保守することは難しいと考えています。ファイルへのラベルの適用に基づくSELinuxとは異なり、AppArmorはファイルパスで機能します。AppArmorの支持者は、SELinuxよりも平均的なユーザーの方が学習が簡単で複雑ではないと主張しています。彼らはまた、AppArmorが既存のシステムで機能するために必要な変更が少ないと主張しています。AppArmorはファイルシステムに依存しません。
Ubuntuは、コアアプリケーション用の多くのAppArmorプロファイルを出荷しています。で見つけることができます/etc/apparmor.d/。デフォルトのプロファイルを編集する必要がある場合は、の設定を上書きできます/etc/apparmor.d/local/。
Ubuntuは、いくつかのいわゆる「抽象化」も出荷しています。これは、自分自身を繰り返すことなく、独自のAppArmorプロファイルをすばやく作成するのに役立つ方法です(有名なDRY原理)。
注意すべき重要な点の1つは、FirefoxのAppArmorプロファイルは、多くのユーザーにとって制限が厳しすぎる可能性があるため、デフォルトで無効になっていることです。ただし、ドキュメントに記載されているように有効にすることができます。
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
SELinuxを使いたい場合は、AppArmor を無効にして、selinuxパッケージをインストールすることができます。ただし、UbuntuでのSELinuxのデフォルト構成はそれほど制限されていないため、自分で構成する必要があります。