連載シリーズ
Linux管理・運用の基本
システム管理者のための実践ガイド
$ sudo systemctl status
$ ps aux | grep nginx
$ tail -f /var/log/syslog
$ _
chmod 755
systemctl
crontab -e
top -p
df -h
Linux管理・運用の基本 第51回
SELinuxとAppArmorの応用:ポリシー作成からトラブルシューティングまで
Linuxシステムのセキュリティをさらに強固にするために、SELinuxとAppArmorは不可欠な存在です。第40回ではこれらの概要を解説しましたが、今回は一歩踏み込んで、実際の運用で直面するであろうポリシーの作成方法や、トラブル発生時の効果的な対処法に焦点を当てて解説します。
この記事では、SELinuxとAppArmorをより深く理解し、あなたのシステムをより安全に運用するための具体的なノウハウを習得できます。なお、本記事の例はSELinuxが標準であるRHEL/CentOS系、AppArmorが標準であるUbuntu系を想定しています。
この記事でわかること
- SELinuxとAppArmorのポリシー作成の基本
- SELinuxのトラブルシューティング手法
- AppArmorのトラブルシューティング手法
- ポリシーを適用・無効化する方法
1. SELinuxの高度な運用とトラブルシューティング
SELinuxは、すべてのプロセスやファイルに「コンテキスト」と呼ばれるラベルを付与し、そのコンテキストに基づいてアクセスを厳密に制御する仕組みです。この強固な制御は、時には予期せぬアクセス拒否を引き起こすことがあります。
1.1 ポリシーの追加・変更
SELinuxのルールは通常、ポリシーモジュールという単位で管理されます。既存のポリシーを修正したり、独自のルールを追加したりする際には、semanageコマンドやaudit2allowコマンドが役立ちます。
semanageコマンドは、SELinuxのポリシー管理を行うための主要なコマンドです。たとえば、特定のディレクトリのコンテキストを変更したい場合は、以下のように使います。
sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/mydata(/.*)?"
sudo restorecon -Rv /var/www/mydatasemanage fcontext -a: ファイルコンテキストルールを追加します。-t: ターゲットとなるタイプ(コンテキスト)を指定します。ここでは、Webサーバーがアクセスするファイルを示すhttpd_sys_content_tを指定しています。restorecon -Rv: 変更したコンテキストルールを再帰的に適用します。
1.2 トラブルシューティング:audit2allowの活用
SELinuxが原因でアプリケーションが動作しない場合、最も一般的な原因はアクセス拒否です。audit.logには、拒否されたアクセスに関する詳細な情報が記録されています。
audit2allowは、このaudit.logを解析し、拒否されたアクセスを許可するためのポリシーモジュールを自動生成する便利なツールです。
例えば、audit.logに以下の拒否ログが出力されたとします。
type=AVC msg=audit(1651234567.890:123): avc: denied { read } for pid=1234 comm="httpd" name="secret.txt" dev="dm-0" ino=5678 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0このログを基にポリシーを生成するには、以下の手順を実行します。
audit.logから関連ログを抽出します。grep "denied" /var/log/audit/audit.log | audit2allow -M myappgrep "denied":audit.logからアクセス拒否(denied)のログを絞り込みます。audit2allow -M myapp: 抽出したログから、myapp.te(タイプエンフォースメント)とmyapp.mod(ポリシーモジュール)というファイルを作成します。これらのファイルに加えて、コンパイル済みのmyapp.pp(ポリシーパッケージ)も生成されます。
生成された
myapp.teファイルの内容を確認します。cat myapp.te- 自動生成されたポリシーは、必要な権限のみを許可するように記述されています。ただし、
audit2allowが生成するルールは必要以上に広い権限を許可してしまうリスクもあるため、生成されたファイルを必ずレビューしてから適用するようにしましょう。
- 自動生成されたポリシーは、必要な権限のみを許可するように記述されています。ただし、
ポリシーモジュールをコンパイルし、システムに適用します。
sudo semodule -i myapp.ppsemodule -i: ポリシーパッケージ(.ppファイル)をインストールします。
audit2allowを使用することで、手動で複雑なルールを記述する手間を省き、迅速に問題を解決できます。
また、一時的にSELinuxを無効化して挙動を確認する場合は、setenforce 0 でPermissiveモードに切り替え可能です。このモードではアクセスを拒否せず、ログに記録するだけになります。ただし、これはあくまで一時的な検証のために利用し、恒久的に無効化するのは推奨されません。
2. AppArmorの高度な運用とトラブルシューティング
AppArmorは、特定のアプリケーションに対して、アクセスを許可するプロファイルを定義する仕組みです。プロファイルは、ファイルパスやネットワークアクセスなど、アプリケーションの挙動を詳細に記述します。
2.1 ポリシーの追加・変更
AppArmorのプロファイルは、/etc/apparmor.d/ディレクトリに配置されるテキストファイルです。プロファイルは、強制モード(enforce)と学習モード(complain)のいずれかで動作します。
- enforce: ポリシーに違反するアクセスを拒否し、ログに記録します。
- complain: ポリシーに違反するアクセスを許可し、ログに記録します。学習モードは、新しいプロファイルを作成する際に、アプリケーションの挙動を把握するために非常に便利です。
プロファイルをcomplainモードに切り替えるには、aa-complainコマンドを使用します。
sudo aa-complain /usr/bin/nginxこのコマンドは、実行ファイルのパスだけでなく、プロファイルファイル名(例:/etc/apparmor.d/usr.sbin.apache2)を指定することも可能です。
逆に、enforceモードに切り替えるにはaa-enforceコマンドを使用します。
sudo aa-enforce /usr/bin/nginx2.2 トラブルシューティング:dmesgとaa-logprofの活用
AppArmorが原因で問題が発生した場合、ログはdmesgコマンドで確認できます。
sudo dmesg | grep "apparmor"環境によっては、dmesg以外にも/var/log/syslogや/var/log/kern.logにAppArmorのログが出力されることがありますので、併せて確認すると良いでしょう。
ログにアクセス拒否の情報(DENIED)が出力されている場合は、aa-logprofコマンドが役立ちます。aa-logprofは、ログを分析し、インタラクティブにプロファイルの修正案を提示してくれるツールです。
sudo aa-logprofaa-logprofを実行すると、新しいアクセス試行に関するログが表示され、「許可」「拒否」「継承」などの選択肢を尋ねられます。これにより、手動でプロファイルを編集するよりも簡単に、適切なルールを追加できます。aa-logprofも自動でルールを生成するため、不必要な権限まで許可してしまわないよう、提案内容を慎重に確認することが重要です。
まとめ
SELinuxとAppArmorは、それぞれ異なるアプローチでシステムを保護する強力なツールです。
| 比較項目 | SELinux | AppArmor |
|---|---|---|
| 制御対象 | プロセスとファイルのコンテキスト | アプリケーション単位 |
| ポリシー形式 | タイプエンフォースメント(.te)ファイル |
プロファイル(テキストファイル) |
| トラブルシューティングツール | audit2allow, semanage |
aa-complain, aa-logprof |
| ポリシー適用 | semoduleコマンド |
aa-enforce/aa-complainコマンド |
この記事が、あなたのSELinuxとAppArmorに関する理解を深める一助となれば幸いです。ご覧いただきありがとうございました。
次回は、セキュリティの基礎を押さえた上で「Web・DBサービスのチューニング・高速化Tips」を取り上げ、より快適なシステム運用を目指します。