MAC (強制アクセス制御)
MAC(Mandatory Access Controlの略。強制アクセス制御と訳すのが一般的)は、コンピュータのセキュリティ確保のためのメカニズムの一つ。ファイルなどへのアクセス権限ルールを(ユーザではなく)管理者が設定する仕組みを指します。元々は軍や政府などの機密情報を取り扱うシステムなどで使われてきた仕組みです。
アクセス制御 / MAC
- アクセス制御全般及びMACに関する記事です。
- 強制アクセス制御 – ArchWiki(和文)
- セキュリティに関する記事の一部です。ラベルベースとパス名ベースのアクセス制御の違いについても言及があります。
- アクセス制御とは ー セキュリティ対策に必須の知識 – ボクシルマガジン
- アクセス制御の種類—DAC,MAC,RBAC – 出口雄一 (@日経xTECH)※要登録
LSM
- LinuxでMACを実現させる各種のセキュリティ・モジュール(Linux Security Modules、LSMと略される)に関する記事です。
- Linux Security Module Usage – The Linux kernel user’s and administrator’s guide (@Kernel.org)
- Linux Security Modules: General Security Support for the Linux Kernel [ HTML版, PDF版 ]
- 大元の提案論文です(2002年8月、USENIXセキュリティ・シンポジウムへの提出版)。
- LSMに関する解説記事など。
- LSMから見たLinux カーネルのセキュリティ – 半田哲夫 (@セキュリティ・キャンプ全国大会2017)
- 知られざるセキュリティフレームワーク「LSM」の役割 – 村上純一 (@IT)
SELinux
- ラベルベースのMACをLinuxで実装するためのセキュリティ・モジュールの一つで、元々はNSAが開発したことで知られます。Red Hat系のディストロではデフォルトで採用。なお、名称はSecurity-Enhanced Linuxを略したもの。
- SELinux Project – 公式HP (@GitHub)
- SELinux Project Wiki – 公式Wiki
- The SELinux Notebook (4th Edition, PDF版) – Richard Haines (@FreeComputerBooks.com)
- 事実上の公式解説本。PDF版で400ページ弱です。
- SELinux User’s & Admin’s Guide – Red Hat公式
- RHEL7のユーザ&管理者ガイドにおけるSELinuxの使い方や設定に関する解説です。
- 【ざっくりと理解する】SELinuxとは? – エンジニアの入り口 [March 2018]
- Beginner’s guide to SELinux – Shusain (@LinuxTechLab)
- SELinux を使おう.使ってくれ. – chi9rinさん (@Qiita)
- 理由がわかれば怖くない! SELinux とのつきあい方 – 伊藤さん (@フェンリル)
- An Introduction to SELinux on CentOS 7 (Part 1) , (Part 2), (Part 3) – Sadequl Hussain (@DigitalOcean)
その他のセキュリティ・モジュール
- SELinux以外のLSMへのリンク集です。
- AppArmor – 公式
- パス名ベースのMACの実装の一つで、SUSE、カノニカルが開発を支援。SELinuxほど敷居が高くないのも特徴です。openSUSE、Ubuntuなどのディストロでデフォルトとして採用。
- AppArmor(ドキュメンテーション) – openSUSE公式
- AppArmor(ドキュメンテーション) – Ubuntu公式
- What Is AppArmor, and How Does It Keep Ubuntu Secure? – Chris Hoffman (@How-To Geek)
- The Smack Project – 公式HP
- ラベルベースのMACの実装の一つで、簡素を旨としています。組み込み系などでそれなりに使われていますが、あまり情報が多くないのが玉にキズ。
- Why choose SMACK to protect your system – Shrikant Bobade (@LinkedIn)
- Smack for simplified access control – Jake Edge (@LWN.net)