23.4. SELinux/Aid の起動
SELinux/Aid は、SELinux のためのセキュリティ支援プログラムです。セキュリティポリシー設定ツール selpec (SELinux Policy Editing and Configuration)、セキュリティログ解析ツール sellog (SELinux LOG analyzer)、セキュリティ監査ツール selchk (SELinux Checker)の 3 つで構成されており、これらを利用することで SELinux の複雑なセキュリティポリシーの設定や管理が容易に行えるようになります。
selpec は、セキュリティポリシー設定ツールであり、インターフェイスには Web ブラウザから操作可能な WUI 、コンソールベースの CUI 、X 上で動作する GUI の 3 種類が用意されています。環境にあわせて最適なインターフェイスを選択することができます。sellog は、SELinux カーネルログを解析して、テキスト形式や HTML 形式に変換するコマンド群で構成されています。ログの解析や統計、不正なアクセスの抽出などに利用することができます。selchk は、SELinux のファイルコンテキストやセキュリティポリシー、Apache、BIND、sendmail の設定ファイルの分析を行うことが可能なコマンド群で構成されています。ここでは、selpec を各モードで起動するための手順を解説します。
 | SELinux/Aid は「Turbolinux 10 Server Java CD」に収録されています。また、selpec を WUI モードで利用するには、Java の Servlet/JSP コンテナである Tomcat4 が必要です。あらかじめ、第44章 を参照し、インストールを完了しておいてください。 |
23.4.1. WUI モード
selpec を WUI モードで利用するには、Tomcat4 の関連ファイルを以下のように編集します。
- /etc/tomcat4/tomcat4.conf
以下部分を編集します。JAVA_OPTS の指定は、java.lang.OutOfMemoryError の発生を回避します。TOMCAT_USER の指定で、owner を root にすることで、selpecc (CUI モードの selpec)や selpecg (GUI モードの selpec)で作成したファイルへのアクセスを可能にします。
JAVA_OPTS="-Xmx128m" TOMCAT_USER="root"
- /etc/tomcat4/server.xml
以下部分を編集します。シンボリックリンクを許可するための指定です。
<Context path="/wui" docBase="wui" debug="0" reloadable="true"> <Resources className="org.apache.naming.resources.FileDirContext" allowLinking="true" /> </Context>
- /etc/tomcat4/tomcat-users.xml
アカウントを指定します。例えば admin というユーザーを指定する場合には以下のようになります。パスワードは admin、 role は、admin の場合の例です。
<role rolename="admin"/> <user username="admin" password="admin" roles="admin"/>
編集後、以下のコマンドを実行して Tomcat4 を起動します。
# /etc/init.d/tomcat4 start |
ブラウザから以下の URL にアクセスします。
http://server_name:8080/wui/Login.do |
以下の画面が表示されます。Language は、"日本語" を選択することも可能です。ユーザー名とパスワードを入力し[ログイン]ボタンをクリックします。
以下のようにセキュリティポリシーの設定画面が表示されます。
[ログアウト]ボタンをクリックしログアウトします。
Tomcat4 を停止するには、以下のコマンドを実行します。
# /etc/init.d/tomcat4 stop |
