Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
5.3. Boolean
SELinux は実行するサービスに必要な最小限レベルのアクセスに基づいています。サービスの実行手段は複数あるため、サービスをどのように実行するのかを SELinux に指示する必要があります。 次の Boolean を使って
vsftpd
の動作方法を SELinux に指示します。
allow_ftpd_anon_write
- この Boolean を無効にした場合、
vsftpd
によるpublic_content_rw_t
タイプのラベルが付いたファイルおよびディレクトリへの書き込みが阻止されます。 有効にすると、 ユーザーによる FTP 経由のファイルのアップロードが可能になります。 ファイルのアップロード先となるディレクトリにはpublic_content_rw_t
タイプのラベルを付け、 また Linux パーミッションも設定しておく必要があります。 allow_ftpd_full_access
- この Boolean をオンにすると、 アクセス制御に Linux (DAC) のパーミッションしか使用されなくなるため、 認証ユーザーはファイルに
public_content_t
やpublic_content_rw_t
のタイプのラベルが付いていなくてもファイルの読み取りおよび書き込みが可能になります。 allow_ftpd_use_cifs
- この Boolean を有効にすると、
vsftpd
によるcifs_t
タイプのラベルが付いたファイルやディレクトリへのアクセスを許可します。 したがって、 この Boolean を有効にすることで Samba でマウントしたファイルシステムをvsftpd
で共有することができるようになります。 allow_ftpd_use_nfs
- この Boolean を有効にすると、
vsftpd
によるnfs_t
タイプのラベルが付いたファイルやディレクトリへのアクセスを許可します。 したがって、 この Boolean を有効にすることで NFS でマウントしたファイルシステムをvsftpd
で共有することができるようになります。 ftp_home_dir
- この Boolean を有効にすると、 認証ユーザーによるユーザーのホームディレクトリ内のファイルの読み取りと書き込みを許可します。 この Boolean をオフにした場合、 ホームディレクトリからファイルをダウンロードしようとすると
550 Failed to open file
などのエラーが発生します。 SELinux 拒否がログ記録されます。 ftpd_connect_db
- FTP デーモンによるデータベースへの接続開始を許可します。
httpd_enable_ftp_server
httpd
による FTP ポートでのリッスンおよび FTP サーバーとしての動作を許可します。tftp_anon_write
- この Boolean を有効にすると、 特殊なアクセス制限がなく共通ファイル用に予約されている領域など、パブリックディレクトリへの TFTP によるアクセスが許可されます。