This section explains: Why it is important to update your system regularly How to apply updates manually by using the GUI or CLI How to enable automatic updates Why it… Read more

Permanent changes in SELinux states and modes As discussed in Getting started with SELinux SELinux can be enabled or disabled. When enabled, SELinux has two modes: enforcing and permissive. Use… Read more

SELinuxの導入 Security Enhanced Linux（SELinux）を使用することで、システムのセキュリティを一段階強化することができます。SELinuxとは本質的には、「（主語）が（目的語）に（アクション）をしてもよいか？」というのを判断する仕組みです。例えば、「ウェブサーバーがユーザーのホームディレクトリーにアクセスしてもよいか？」といったものです。 一般的に使われている、ユーザーやグループなどに基づくアクセスポリシーは、Discretionary Access Control（DAC）と呼ばれますが、網羅的かつ詳細なセキュリティポリシーを管理者が設定できません。例えば、特定のアプリケーションに対してログファイルの読み込みだけを許可しつつ、他のアプリケーションにはログファイルにデータの追加を許可する、といったポリシーです。 SELinuxはMandatory Access Control（MAC）と呼ばれるものを実装しています。すべてのプロセスおよびシステムリソースに、 SELinuxコンテキスト と呼ばれる特別なセキュリティラベルが付与されています。SELinuxコンテキストは、 SELinuxラベル と呼ばれることもありますが、システムレベルの詳細な情報をより抽象化した識別子であり、当該のエンティティのセキュリティ属性に重きを置きます。これにより、SELinuxのポリシーにおいてオブジェクトを指定する方法が一貫性のあるものになるだけでなく、他の識別方法に見られる曖昧性を排除することにもなります。例えば、バインドマウントを使用しているシステムでは、同一のファイルが複数の有効なパスを持つことがあります。 SELinuxポリシーでは、このコンテキストを使って、プロセスが他のプロセスや様々なシステムリソースにどうアクセスできるかをルールとして定義します。デフォルトでは、アクセスを明示的に許可するルールがなければそのアクセスは許可されません。 SELinuxコンテキストはユーザー、ロール、タイプ、セキュリティレベル、というフィールドから構成されます。SELinuxポリシーにおいて一番重要なのはおそらくタイプです。プロセスとシステムリソースのやり取りを許可するルールでは、コンテキストすべてではなくタイプだけを使用することが最も多いからです。SELinuxタイプは通常、末尾が _t となっています。例えば、ウェブサーバー用のタイプは httpd_t です。通常 /var/www/html/ に存在するファイルやディレクトリには httpd_sys_content_t タイプを持っています。通常 /tmp や /var/tmp/ にあるファイルやディレクトリは tmp_t です。ウェブサーバーが使用するポートのタイプは… Read more

If you plan to enable SELinux on systems where it has been previously disabled or if you run a service in a non-standard configuration, you might need to troubleshoot situations… Read more

The Shared System Certificates storage enables NSS, GnuTLS, OpenSSL, and Java to share a default source for retrieving system certificate anchors and black list information. By default, the trust store… Read more

What is a YubiKey? A YubiKey is a small USB and NFC based device, a so called hardware security token, with modules for many security related use-cases. It generates one… Read more