前回、SELinuxを使って、一般のユーザー(ヘルプデスク等のスタッフではないユーザー)が使うための機能を絞り込むことが出来そうだと書いたのだが、既にRed Hat では社内で使用しているらしい。

http://www.globalknowledge.com/training/generic.asp?pageid=2114&country=United+States

Fedora11にもあるSELinux ユーザーとして、user_u があるが、これは、setuid のコマンド全体が使用できない一般ユーザーという扱いである。setuidを使用しているコマンドとしては、 su, sudoなどいくつかがあるが、普通にPCを使う分にはこれらのコマンドを使う必要はない。 これによって、ユーザーが使う機能を制限し、より管理を行いやすくすることが出来る。
また、setuid を利用するツールに脆弱性があった場合にも、user_uのユーザーからは脆弱性を利用しにくくなるため、セキュリティ上もよさそうだ。

SELinuxは使いどころが難しい機能だと思っていたが、user_uのような使い方は良い使い方だと思う。他にも使いどころを探していきたい。