2005年6月15日水曜日

Fedora Core 4 割と安定する

アップグレードしてからトラブル続きのFC4ですが、なんとか安定してきました。
起動時にPOP/IMAPサーバのdovecotがまたSELinux絡みで起動しなくなっていたので、今日はそれの設定を調べてみました。
まずはSELinuxの基本から調べたのですが、概念というのはそれほど難しい話ではないようですね。きっとオブジェクト指向のプログラムが分かる人にとってはすんなり入っていけるのではないでしょうか。
まず、Linuxのパーミッション設定に加えて、その実行ファイル(サーバプログラム)が属するドメインを決めます。Apacheならhttpd_tなどです。すると、そのプログラムはそのドメインにしかアクセスできないようになる、というのがSELinuxの基本概念です。ドメインということでDNSに近いのかもしれません。また、アクセスレベルに関しても、読み取り専用、読み書きを選択できます。
例えば、WebサーバのApacheがドメイン内のファイル群に読み取り専用のアクセスレベルしか持っていないとします。すると外部から仮にApacheが乗っ取られたとしても、アクセスレベルが読み取り専用なのでHPの改竄は出来ません。しかしながら、PHPやCGI等でもやはりファイルを書き換えることは出来ないので、利便性は下がります。
このように、セキュリティと利便性はトレードオフの関係にある、これをしっかりと頭に入れておく必要があるそうです。
これらを踏まえた上で、設定ファイル群をインストールし、SELinuxに再読み込みさせてやることで無事dovecotがSELinuxのポリシーの下で起動するようになりました。
まだまだ勉強しないといけないことが多いですねぇ。頑張らなくては!