Linux Daily Topics

2020年5月7日 Udica ―コンテナ用SELinuxポリシーを生成するユーティリティがRHLE 8.2で採用

この記事を読むのに必要な時間:およそ 1 分

Red Hatは4月28日(米国時間⁠⁠,⁠Red Hat Enterprise Linux 8.2」の一般提供を開始した。ユーザエクスペリエンスの大幅な拡張やライフサイクルマネジメントの改善,cgroup v2によるコンテナ実行環境における隔離/ガバナンスの向上,開発ツールのサポート拡大など数多くのアップデートが実施されている。

[rhelv6-list] Red Hat Enterprise Linux 8.2, Now Generally Available (GA)
Red Hat Enterprise Linux 8.2で変わったことは? -Joe Brockmeier

Red Hatはここ数年,RHELのアップデートにおいてKubernetes/コンテナワークロードのセキュリティに注力した機能拡張を行ってきているが,RHEL 8.2ではその一環として新たに「Udica」というパッケージが含まれている。コンテナのプロセスがシステムリソースに対してコンプライアンスに反したアクセスを行わないようにするためのプログラムで,新規に作成するコンテナのデプロイをセキュアに実現するプロダクトとして注目されている。ライセンスはGPLv3で,FedoraのSELinuxエンジニアリングチームから誕生したプロジェトだ。

Generate SELinux policies for containers with Udica -Lukas Vrabec
udica | a tool for generating SELinux security profiles for containers -GitHub

UdicaはSELinuxのポリシー言語「CIL」のブロック継承機能(block inheritence)にもとづいて作成されたルールと,カスタムコンテナの仕様ファイル(JSON形式)を解析した結果から最適化されたルールを組み合わせ,カスタムコンテナのSELinuxポリシー(プロファイル)を容易に作成できる。対応するコンテナエンジンは

  • CRI-O 1.4.10以上
  • Docker 1.13以上
  • Podman 1.4以上

となっている。

Udicaというプロジェクト名はスロバキア語で「釣り竿(フィシングロッド⁠⁠」を表す単語に由来する。英語のことわざである「人に魚を与えれば1日養える。人に魚の釣り方を教えれば一生養える(Give a man a fish and you feed him for a day; teach a man to fish and you feed him for a lifetime.⁠⁠」にちなみ,⁠釣り竿(Udica)があれば魚(コンテナポリシー)をいつでも自分で得られるようになる。地元の漁師(SELinuxエキスパート)に釣り方(作り方)を毎日尋ねるよりも簡単に」という意図が込められているという。

著者プロフィール

階戸アキラ(かいとあきら)

起きてからまず海外ニュースサイトのハシゴをしないと1日を始められない海外ニュースウォッチャー。英語は英検準一級の資格を持ち,日本人と話すより英語圏の人のほうがウマが合う。