はてなブックマーク

はじめに 「SELinux？ Disabled にしとけばいいでしょ」と思っていた自分への戒めです。 自分用の勉強したことまとめです。 SELinux アメリカの諜報機関が作成したLinuxセキュリティ拡張機能。Linux 2.6 以降でサポート。 Linux に強制アクセス制御の仕組みを提供する。外部に侵入されないための仕組みではなく、侵入された後にアクセスできる範囲を最小限に抑えるための仕組み。フェールセーフ的な考え方。 ファイアウォールやアンチウイルスソフトとはレイヤが異なる。 SELinux が有効に働いた例 CVE-2019-5736 において、docker コンテナを実行する runc のバイナリが上書きされ、root権限で任意のコードが実行される脆弱性が発覚した。RHEL の SELinux においては runc に対し適切なアクセス権限が割り当てられているため、root 権