11.22. SECMARKターゲット

SECMARK ターゲットは、対象とする 1個のパケットに SELinux およびセキュリティ機構の定義するところの セキュリティコンテキスト マークをセットするために使用する。この機能は Linux においてはまだ駆け出しだが、将来もっと充実していくことだろう。SELinux は当ドキュメントの守備範囲ではないので、Security-Enhanced Linux で詳しく見ていただくことをお勧めするだけに留めておこう。

SELinux は、簡潔に言うと、強制アクセス制御 (Mandatory Access Control = MAC) を Linux に装備する先進的なセキュリティ機構で、NSA によって臨床試験的な実装が行われた。基本的には、様々なオブジェクトにセキュリティ属性を付与しておき、その セキュリティ・コンテキスト の中身でそれらを区別しようというものだ。SECMARK ターゲットを使用するとパケットに セキュリティ・コンテキスト をセットすることができ、それを基準にしてセキュリティサブシステムにそのパケットを区別させることができる。

SECMARK ターゲットは mangle テーブルでのみ使用できる。