Ubuntu日本語フォーラム

haghag564 · 2012-01-28 22:26:05

最近、姉に勧められてUbuntuを始めたばかりの短大生です。^^
以前は、もちろんWindowsを使っていたのですが、Ubuntuのほうがウィルスに感染することが少ない言われて、思い切って乗り換えてみることにしました。
SELinuxを活用しょうと思ったきっかけは、ウィルスに感染したときの被害を最小限に食い止めることです。既にAVGも導入しましたが、SEを活用したほうがウィルスに感染しないはず、と自分では勝手に思い込んでいます。(こんな自分が恥ずかしい・・・・・・^^
Ubuntuは、デェホルトでPootが閉じているからといって、100％安全というわけではありませんから、何かあったときのために投稿させて頂くことに致しました。

いろいろ検索致しましたが、他のLinuxでは初期の状態でSEが有効になっているのもありますが、Ubuntuは後から設定が必要みたいです。catで設定ファイルを開いて、viエディタでconfigを修正して、rebootで設定を反映すればよいみたいに記述されていますが、Ubuntuに関するSEの設定がなかなか見つかりません。

識者の方々、ぜひコメトンよろしくお願い致します。

Ubuntu　9.04

hmatsue · 2012-01-28 23:50:54

識者なんて大層な者ではありませんので、その点は予め御了承下さい。
ちょっと順番を入れ替えました。

haghag564 による投稿:
Ubuntu　9.04

まずは、Ubuntuのバージョンですが、9.04は既にサポート期間が終了しています。
サポート終了後に見つかったセキュリティホールがあったとしても、修正されない状態になっていますので、サポート期間が残っているバージョンに入れ替えて下さい。
サポート期間については、
http://www.ubuntulinux.jp/products/WhatIsUbuntu
参照下さい。

haghag564 による投稿:
いろいろ検索致しましたが、他のLinuxでは初期の状態でSEが有効になっているのもありますが、Ubuntuは後から設定が必要みたいです。catで設定ファイルを開いて、viエディタでconfigを修正して、rebootで設定を反映すればよいみたいに記述されていますが、Ubuntuに関するSEの設定がなかなか見つかりません。

さて、新しいバージョンのUbutnuに移行した後の話になります。
比較的最近のUbuntuでは、同様の機能を持ったものとして、apparmorがデフォルトで動作しています。
ただ、デフォルトで制限対象になっているプログラムはあまり多くはありません。
追加でプロファイルを導入したり、制限対象になっていないものを制限対象に加えたりという設定変更を行い、apparmorを使用するというのは選択肢に入りますでしょうか。apparmorについては、
https://wiki.ubuntu.com/AppArmor
参照下さい。

一応、selinuxもパッケージ管理システムから導入できるようですので、資料のポインタだけ示しておきます。
https://wiki.ubuntu.com/SELinux

ただし、
apt-cache depends selinux
したところapparmorと競合関係にあるようです。
よほど強い拘りがある場合を除き、selinuxへの入れ替えまではしなくても良いんではないかというのが、個人的な感想です。

haghag564 · 2012-01-29 01:55:51

早速のコメントありがとうございます。

なにせパソコンのスペックが古くて、7年前に姉から譲り受けたNEC製の古いディスクトップをいまだに使っています。
CPUは、Intelの32Bit・Pentium4、メモリーは2G、HDDは30Gの超ローカルスペックです。
この環境で、ご指摘のUbuntu11.10などをインストールしたのですが、動作が重くて使い勝手が悪いのです。
なんとか今年中には、新しいパソコンの買い替えを予定しておりますが、9.04に馴れるまでとりあえずこれでガマンです。

hmatsueさんからお教え頂いた「apparmor」は、プロセス単位でアクセスを許可したり、拒否したり、ログをとったりといろいろできるみたいですね。
ですが、Windows時代にパソコンに感染したウィルスの駆除に悩まされた苦い過去がありますから、できればSEを導入して使ってみたいです。

端末から、getenforce で確認してみると、まだインストールされていません。という返答です。
パッケージマネージャーでは、既にインストール済みになっています。(相矛盾・・なぜなの？

Ubuntuの設定ファイルは、/etc/selinux/config になるのですが、リダイレクトするとなぜか、bash: /etc/selinux/config: No such file or directoryになっています。(泣・・・　これは sudo su - で root から入らないと config の修正ができないということでしょうか？
設定ファイルの修正は、configの行の一部を、SELINUX=enforcing に修正すればよいはずですが、もしご存知ならば、端末を機動してSE設定までのコマンドの流れをお教え頂けたら私しとしては嬉しいです。

haghag564 · 2012-01-29 13:44:02

すみません。やっぱりSE導入するのやめて、apparmor 活用するこにしました。
よく考えてみると、SEも apparmor も機能は同じみたいなので、apparmor のほうが使い勝手がよさそうでした。

初心者の私が、一からSEを構築するのに何ヶ月もかかりそうだし、hmatsue さんがおしゃる通り、apparmor を使ったほうが、私にとっては無難みたいです。自分で言うのもなんですが、最初に高いハードル越えることよりも、基本的なところから初めたほうが学習しやすいです。

apparmor については、改めて別トピックスを立ててお尋ねしたいと思います。いろいろお教え頂き、ありがとうございました。

hmatsue · 2012-01-29 16:46:42

haghag564 による投稿:
CPUは、Intelの32Bit・Pentium4、メモリーは2G、HDDは30Gの超ローカルスペックです。
この環境で、ご指摘のUbuntu11.10などをインストールしたのですが、動作が重くて使い勝手が悪いのです。
なんとか今年中には、新しいパソコンの買い替えを予定しておりますが、9.04に馴れるまでとりあえずこれでガマンです。

これぐらいのスペックであれば、さほど不都合無いのではないかと思いますが、そんなに重かったでしょうか。
いずれにしてもサポート期限切れのバージョンは新しいパッケージのインストールはおろか、アップデートのインストールすら通常はできない状態になっているため、より新しいバージョンのUbuntuのインストールは必要です。
比較的軽い目のバージョンということであれば、10.04がよいかと思います。
それでも重いと感じるようであれば、Xubuntuデスクトップや、Lubuntuデスクトップ環境を導入してそちらで使うようにするのがよいでしょう。
Lubuntu 10.04であれば、

CPU: Geode 500MHz
MEM: 512MB

の環境でも重いなりにそこそこ動いています。
(ただし、firefox, chromiumなどは重すぎるので、Operaを追加でインストールしています)
CPUの動作周波数にもよりますが、Pen4なら2GHzぐらいはでているかと思いますので、なんとでもやりようはあるかと。
必要があれば、10.04のXubuntu化、あるいは、Lubuntu化についてトピックを立てていただけば、方法を御説明致します。

Ubuntu日本語フォーラム

お知らせ

#1 2012-01-28 22:26:05

SElinuxの設定についての質問です。

#2 2012-01-28 23:50:54

Re: SElinuxの設定についての質問です。

haghag564 による投稿:

haghag564 による投稿:

#3 2012-01-29 01:55:51

Re: SElinuxの設定についての質問です。

#4 2012-01-29 13:44:02

Re: SElinuxの設定についての質問です。

#5 2012-01-29 16:46:42

Re: SElinuxの設定についての質問です。

haghag564 による投稿:

Board footer