セキュリティ基礎

セキュリティ、といっても様々だけれど、基本的には

1. 未然に阻止する(ファイアウォール、認証など）
2. 事後に被害を最小限にする（アクセス制限など）

のどちらかになる。SELinuxは２番のほう。未然に防止するのは限界があるので、もしもとられてしまったときにきめ細かなアクセス制御ができるようにする、という発想。
http://www.nsa.gov/research/selinux/index.shtml
そもそものUnixのセキュリティモデルは非情に大雑把、というかユーザ単位での所有権制御しかない。一応これでも最低限のアクセス制御は可能で、例えばdaemonだったらログイン不能な特定ユーザを作成して、daemonをそのユーザで実行する事で必要なファイルのみにアクセスを限定できたりとかした。しかし、それでは細かい制御が難しい。
また、そもそもがrootが何でもオッケーなジョーカー状態なので、結局はそこが穴になる。マスターキーが金庫の上に放置されている状態なわけで（一応簡単な金庫には入れてあるが）。SELinuxではrootであっても制限に縛られるようになっている。このため滅多な事では問題が起きない。。。わけもないか。実はrootがとられたらpolicyを変更されてしまえばアウトなので、この部分は単に複雑にしただけでメリットがあんまりないような気もしてくる。神髄は勉強しているうちに分かってくるのかな？
ちなみにSELinuxの機能はモジュールとして実現されている。

環境

殆どの Linux distributionにはついてる。僕が使った Fedora 11ではデフォルトでオンになっている。お陰で勉強する機会が得られた、ということで感謝*2。オンオフは「セキュリティレベルの設定」ツールで設定できる。変更には再起動が必要。

要素

以下の要素があるらしい。後で書く

Typeの表示

 $ ls -Z

で表示される。