11.22. SECMARKターゲット

SECMARK ターゲットは、対象とする 1個のパケットに SELinux およびセキュリティ機構の定義するところの セキュリティコンテキスト マークをセットするために使用する。この機能は Linux においてはまだ駆け出しだが、将来もっと充実していくことだろう。SELinux は当ドキュメントの守備範囲ではないので、Security-Enhanced Linux で詳しく見ていただくことをお勧めするだけに留めておこう。

SELinux は、簡潔に言うと、強制アクセス制御 (Mandatory Access Control = MAC) を Linux に装備する先進的なセキュリティ機構で、NSA によって臨床試験的な実装が行われた。基本的には、様々なオブジェクトにセキュリティ属性を付与しておき、その セキュリティ・コンテキスト の中身でそれらを区別しようというものだ。SECMARK ターゲットを使用するとパケットに セキュリティ・コンテキスト をセットすることができ、それを基準にしてセキュリティサブシステムにそのパケットを区別させることができる。

Note

SECMARK ターゲットは mangle テーブルでのみ使用できる。

Table 11-16. SECMARKターゲットオプション

オプション--selctx
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j SECMARK --selctx httpcontext
説明--selctx オプションは、パケットにどの セキュリティ・コンテキスト を設定するかを指定する。セットされたコンテキストは Linux の持つセキュリティサブシステムに探知させることができる。