新しいプログラム用のモジュールを作成する必要がありますか、または既存のプログラムを使用する必要がありますか?

新しいプログラム用のモジュールを作成する必要がありますか、または既存のプログラムを使用する必要がありますか?

私たちはCentOSイメージで実行されるプログラムを開発してきました。このプログラムは私たちにとって非常に重要なので、非常に安全な環境で実行する必要があります。

だから私はこれを保護するためにSELinuxを使用することを検討しています。 SELinuxに関するドキュメントを見てみましたが、わかりにくい部分があります。カスタムプログラム用に特定の新しいモジュールを作成する必要がありますか、または既存のモジュールのいずれかを使用できますか?

答え1

プログラム用のSELinuxポリシーモジュールを作成できます。他のプログラム、他の構成ファイル、他のデータファイルなどへのパスを参照するため、既存のモジュールを使用することはできません。ただし、既存のモジュールをインポートするのと同様の要件を持つプログラムに合わせて調整できます。別の名前を使用すると SELinux が分離されるため、すべてのタイプ、属性などの名前を変更することを忘れないでください。

あなたの質問を見ると、SELinuxの仕組みを理解しているかどうかはわかりません。プログラムに対して SELinux モジュールを定義すると、主にプログラムが制限されます。これはプログラムからシステムの残りの部分を保護するものであり、その逆ではありません。他のプログラムに適用されるSELinuxルールは、プログラム資産を保護します。ポリシーモジュールはプログラムに制限的なコンテキストを割り当てるため、プログラムを保護します。資産(構成とデータファイル)。

関連情報