手順3.5 sudo 移行の設定

1. 新規 SELinux ユーザーを作成し、そのユーザーに対してデフォルトの SELinux ロールと補助的な制限のある管理者ロールを指定します。

   ~]# semanage user -a -r s0-s0:c0.c1023 -R "default_role_r administrator_r" SELinux_user_u

2. デフォルトの SElinux ポリシーコンテキストファイルをセットアップします。たとえば、staff_u SELinux ユーザーと同じ SELinux ルールを用意するには、staff_u コンテキストファイルをコピーします。

   ~]# cp /etc/selinux/targeted/contexts/users/staff_u /etc/selinux/targeted/contexts/users/SELinux_user_u

3. 新規作成の Linux ユーザーを既存の Linux ユーザーにマッピングします。

   semanage login -a -s SELinux_user_u -rs0:c0.c1023 linux_user

4. /etc/sudoers.d/ ディレクトリー内に Linux ユーザーと同じ名前で新規設定ファイルを作成し、以下の文字列を追加します。

   ~]# echo "linux_user ALL=(ALL) TYPE=administrator_t ROLE=administrator_r /bin/sh " > /etc/sudoers.d/linux_user

5. restorecon ユーティリティーを使って linux_user ホームディレクトリーのラベルを付け替えます。

   ~]# restorecon -FR -v /home/linux_user

6. 新規作成の Linux ユーザーとしてログインすると、このユーザーはデフォルトの SELinux ロールでラベル付けされます。

   ~]$ id -Z
   SELinux_user_u:default_role_r:SELinux_user_t:s0:c0.c1023

   sudo を実行すると、そのユーザーの SELinux コンテキストは /etc/sudoers.d/linux_user で指定されている補助的な SELinux ロールに変更されます。sudo で -i オプションを使用すると、インタラクティブシェルが実行されます。

   ~]$ sudo -i
   ~]# id -Z
   SELinux_user_u:administrator_r:administrator_t:s0-s0:c0.c1023

   最初のステップで指定された例の SELinux_user_u ユーザーの場合、出力は以下のようになります。

   ~]$ id -Z
   confined_u:staff_r:staff_t:s0:c0.c1023
   ~]$ sudo -i
   ~]# id -Z
   confined_u:webadm_r:webadm_t:s0:c0.c1023

   以下の例では、デフォルトで割り当てられる staff_r ロールと、sudo が confined_u のロールを staff_r から webadm_r に変更するよう設定されている SELinux ユーザー confined_u を新規に作成します。

   ~]# semanage user -a -r s0-s0:c0.c1023 -R "staff_r webadm_r" confined_u
   ~]# cp /etc/selinux/targeted/contexts/users/staff_u /etc/selinux/targeted/contexts/users/confined_u
   ~]# semanage login -a -s confined_u -rs0:c0.c1023 linux_user
   ~]# restorecon -FR -v /home/linux_user
   ~]# echo "linux_user ALL=(ALL) TYPE=webadm_t ROLE=webadm_r /bin/sh " > /etc/sudoers.d/linux_user

   新規作成の Linux ユーザーとしてログインすると、このユーザーはデフォルトの SELinux ロールでラベル付けされます。

   ~]$ id -Z
   confined_u:staff_r:staff_t:s0:c0.c1023
   ~]$ sudo -i
   ~]# id -Z
   confined_u:webadm_r:webadm_t:s0:c0.c1023

1. SELinux を Permissive モードで有効にします。詳細は「Permissive モード」を参照してください。
2. システムを再起動します。
3. SELinux 拒否メッセージを確認します。詳細は「拒否の検索および表示」を参照してください。
4. 拒否がない場合は、Enforcing モードに切り替えます。詳細は「Enforcing モード」を参照してください。

手順4.4 SELinux の無効化

1. /etc/selinux/config ファイル内で SELINUX=disabled と設定します。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=disabled
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=targeted

2. システムを再起動して、getenforce コマンドが Disabled を返すことを確認します。

   ~]$ getenforce
   Disabled

手順4.5 ブール値の設定

1. デフォルトでは、httpd_can_network_connect_db ブール値はオフになっていて、Apache HTTP Server スクリプトとモジュールがデータベースサーバーに接続できないようにしています。

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> off

2. Apache HTTP Server スクリプトとモジュールが一時的にデータベースサーバーに接続できるようにするには、root で以下のコマンドを実行します。

   ~]# setsebool httpd_can_network_connect_db on

3. ブール値が有効になったことを確認するには、getsebool ユーティリティーを使用します。

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> on

   これで Apache HTTP Server スクリプトとモジュールがデータベースサーバーに接続できます。
4. この変更は再起動後には維持されません。再起動後も変更を維持するには、root で setsebool -P boolean-name on コマンドを実行します^[3]。

   ~]# setsebool -P httpd_can_network_connect_db on

手順4.6 ファイルまたはディレクトリーのタイプ変更

1. ホームディレクトリーへ移動します。
2. 新規ファイルを作成し、その SELinux コンテキストを表示します。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

   この例では、file1 の SELinux コンテキストには、SELinux unconfined_u ユーザー、object_r ロール、user_home_t タイプ、s0 レベルが含まれます。SELinux コンテキストの各パーツの説明は、「2章SELinux コンテキスト」を参照してください。
3. 以下のコマンドを実行して、タイプを samba_share_t に変更します。-t オプションはタイプのみを変更します。そして、変更を確認します。

   ~]$ chcon -t samba_share_t file1

   ~]$ ls -Z file1 
   -rw-rw-r--  user1 group1 unconfined_u:object_r:samba_share_t:s0 file1

4. file1 ファイルの SELinux コンテキストを復元するには、以下のコマンドを実行します。変更内容を表示するには、-v オプションを使用します。

   ~]$ restorecon -v file1
   restorecon reset file1 context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:user_home_t:s0

   この例では、以前のタイプである samba_share_t が、正しい user_home_t に復元されました。ターゲットポリシー (Red Hat Enterprise Linux ではデフォルトの SELinux ポリシー) を使用している場合は、restorecon コマンドが /etc/selinux/targeted/contexts/files/ ディレクトリー内のファイルを読み取り、どの SELinux コンテキストファイルにするかをチェックします。

手順4.7 ディレクトリーおよびコンテンツタイプの変更

1. root ユーザーとして新規ディレクトリー web/ を作成し、この中に 3 つの空のファイル (file1、file2、file3) を作成します。web/ ディレクトリーとその中のファイルは、default_t タイプのラベルが付けられます。

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3

2. root で以下のコマンドを実行し、web/ ディレクトリー (およびそのコンテンツ) のタイプを httpd_sys_content_t に変更します。

   ~]# chcon -R -t httpd_sys_content_t /web/

   ~]# ls -dZ /web/
   drwxr-xr-x  root root unconfined_u:object_r:httpd_sys_content_t:s0 /web/

   ~]# ls -lZ /web/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3

3. デフォルトの SELinux コンテキストを復元するには、root で restorecon ユーティリティーを使用します。

   ~]# restorecon -R -v /web/
   restorecon reset /web context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0

手順4.8 ファイルまたはディレクトリーのタイプ変更

1. root ユーザーとして、/etc ディレクトリー内に新規ファイルを作成します。デフォルトでは、/etc ディレクトリー内の新規作成ファイルには etc_t タイプのラベルが付けられます。

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1

   ディレクトリーの情報を確認するには、以下のコマンドを実行します。

   ~]$ ls -dZ directory_name

2. root で以下のコマンドを実行し、file1 のタイプを samba_share_t に変更します。-a オプションは新規レコードを追加し、-t オプションはタイプ (samba_share_t) を定義します。このコマンドを実行しても、直ちにタイプが変更されるわけではないことに留意してください。file1 には etc_t タイプのラベルが付けられたままです。

   ~]# semanage fcontext -a -t samba_share_t /etc/file1

   ~]# ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1

   ~]$ semanage fcontext -C -l
   /etc/file1    unconfined_u:object_r:samba_share_t:s0

3. root で restorecon ユーティリティーを使用してタイプを変更します。semanage が /etc/file1 のエントリーを file_contexts.local に追加したので、restorecon によりタイプが samba_share_t に変更されます。

   ~]# restorecon -v /etc/file1
   restorecon reset /etc/file1 context unconfined_u:object_r:etc_t:s0->system_u:object_r:samba_share_t:s0

手順4.9 ディレクトリーおよびコンテンツタイプの変更

1. root ユーザーとして新規ディレクトリー web/ を作成し、この中に 3 つの空のファイル (file1、file2、file3) を作成します。web/ ディレクトリーとその中のファイルは、default_t タイプのラベルが付けられます。

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3

2. root で以下のコマンドを実行し、web/ ディレクトリーとその中にあるファイルのタイプを httpd_sys_content_t に変更します。-a オプションは新規レコードを追加し、-t オプションはタイプ (httpd_sys_content_t) を定義します。"/web(/.*)?" の正規表現を使うことで、semanage が変更を web/ とその中のファイルに適用します。このコマンドを実行しても、直接にはタイプを変更しないことに留意してください。web/ およびその中のファイルは default_t タイプのラベルが付けられたままです。

   ~]# semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"

   ~]$ ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web

   ~]$ ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3

   semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" コマンドが以下のエントリーを /etc/selinux/targeted/contexts/files/file_contexts.local に追加します。

   /web(/.*)?    system_u:object_r:httpd_sys_content_t:s0

3. root で restorecon ユーティリティーを使用して web/ とその中のすべてのファイルのタイプを変更します。-R オプションは再帰的なので、web/ ディレクトリー下のすべてのファイルとディレクトリーが httpd_sys_content_t タイプでラベル付けされます。semanage で /web(/.*)? のエントリーを file.contexts.local に追加したので、restorecon により httpd_sys_content_t にタイプが変更されます。

   ~]# restorecon -R -v /web
   restorecon reset /web context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0

   デフォルトでは、新規作成のファイルおよびディレクトリーは、親ディレクトリーの SELinux タイプを引き継ぎます。

手順4.10 追加されたコンテキストの削除

~]# semanage fcontext -d "/web(/.*)?"

1. コンテキストを削除するには、root ユーザーで以下のコマンドを実行します。ここでの file-name|directory-name は、file_contexts.local の最初の部分です。

   ~]# semanage fcontext -d file-name|directory-name

   以下は、file_contexts.local 内のコンテキスト例です。

   /test    system_u:object_r:httpd_sys_content_t:s0

   最初の部分は /test になっています。restorecon 実行後もしくはファイルシステムのラベル交換後に /test/ ディレクトリーへの httpd_sys_content_t のラベル付けを防ぐには、root で以下のコマンドを実行して file_contexts.local からコンテキストを削除します。

   ~]# semanage fcontext -d /test

2. root で restorecon ユーティリティーを使用してデフォルトの SELinux コンテキストを復元します。

手順4.11 SELinux コンテキストを維持せずにコピーする

1. ユーザーのホームディレクトリーでファイルを作成します。ファイルは user_home_t タイプでラベル付けされます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

2. 以下のコマンドで示すように、/var/www/html/ ディレクトリーは httpd_sys_content_t タイプでラベル付けされています。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

3. file1 が /var/www/html/ にコピーされると、httpd_sys_content_t タイプを継承します。

   ~]# cp file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1

手順4.12 SELinux コンテキストを維持してコピーする

1. ユーザーのホームディレクトリーでファイルを作成します。ファイルは user_home_t タイプでラベル付けされます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

2. 以下のコマンドで示すように、/var/www/html/ ディレクトリーは httpd_sys_content_t タイプでラベル付けされています。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

3. --preserve=context オプションを使うと、コピー時に SELinux コンテキストが維持されます。以下で示すように、file1 の user_home_t タイプは、このファイルを /var/www/html/ にコピーしても維持されます。

   ~]# cp --preserve=context file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:user_home_t:s0 /var/www/html/file1

手順4.13 コンテキストのコピーおよび変更

1. ユーザーのホームディレクトリーでファイルを作成します。ファイルは user_home_t タイプでラベル付けされます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

2. --context オプションを使って SELinux コンテキストを定義します。

   ~]$ cp --context=system_u:object_r:samba_share_t:s0 file1 file2

3. --context を使用しないと、file2 は unconfined_u:object_r:user_home_t コンテキストでラベル付けされます。

   ~]$ ls -Z file1 file2
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   -rw-rw-r--  user1 group1 system_u:object_r:samba_share_t:s0 file2

手順4.14 既存ファイル上へのファイルのコピー

1. root で新規ファイル file1 を /etc ディレクトリーに作成します。以下のように、このファイルは etc_t タイプでラベル付けされます。

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1

2. 別のファイル file2 を /tmp ディレクトリーに作成します。以下のように、このファイルは user_tmp_t タイプでラベル付けされます。

   ~]$ touch /tmp/file2

   ~$ ls -Z /tmp/file2
   -rw-r--r--  root root unconfined_u:object_r:user_tmp_t:s0 /tmp/file2

3. file1 を file2 で上書きします。

   ~]# cp /tmp/file2 /etc/file1

4. コピー後に以下のコマンドを実行すると、file1 は etc_t タイプでラベル付けされており、/etc/file1 を上書きした /tmp/file2 の user_tmp_t タイプではないことが分かります。

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1

手順4.15 ファイルおよびディレクトリーの移動

1. ユーザーのホームディレクトリーに移動して、ファイルを作成します。ファイルは user_home_t タイプでラベル付けされます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

2. 以下のコマンドを実行して、/var/www/html/ ディレクトリーの SELinux コンテキストを表示します。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

   デフォルトでは、/var/www/html/ には httpd_sys_content_t タイプがラベル付けされています。/var/www/html/ 下で作成されたファイルおよびディレクトリーはこのタイプを継承するため、このタイプでラベル付けされます。
3. root で file1 を /var/www/html/ に移動します。このファイルは移動したので、現行の user_home_t タイプを維持します。

   ~]# mv file1 /var/www/html/

   ~]# ls -Z /var/www/html/file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 /var/www/html/file1

手順4.16 matchpathcon を使ってデフォルトの SELinux コンテキストをチェックする

1. root ユーザーとして /var/www/html/ ディレクトリーに 3 つのファイルを作成します (file1、file2、file3)。これらのファイルは /var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3

2. root で file1 のタイプを samba_share_t に変更します。Apache HTTP Server は、samba_share_t タイプでラベル付けされたファイルやディレクトリーを読み取れないことに注意してください。

   ~]# chcon -t samba_share_t /var/www/html/file1

3. matchpathcon -V オプションは、現行の SELinux コンテキストを SELinux ポリシーの正しいデフォルトのコンテキストと比較します。以下のコマンドを実行すると、/var/www/html/ ディレクトリー内の全ファイルをチェックします。

   ~]$ matchpathcon -V /var/www/html/*
   /var/www/html/file1 has context unconfined_u:object_r:samba_share_t:s0, should be system_u:object_r:httpd_sys_content_t:s0
   /var/www/html/file2 verified.
   /var/www/html/file3 verified.

手順4.17 tar アーカイブを作成する

1. /var/www/html/ ディレクトリーに移動し、その SELinux コンテキストを確認します。

   ~]$ cd /var/www/html/

   html]$ ls -dZ /var/www/html/
   drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 .

2. root ユーザーとして /var/www/html/ ディレクトリーに 3 つのファイルを作成します (file1、file2、file3)。これらのファイルは /var/www/html/ から httpd_sys_content_t タイプを継承します。

   html]# touch file{1,2,3}

   html]$ ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3

3. root で以下のコマンドを実行し、test.tar という名前の tar アーカイブを作成します。SELinux コンテキストを保持するには、--selinux を使用します。

   html]# tar --selinux -cf test.tar file{1,2,3}

4. root で test/ という名前の新規ディレクトリーを作成し、全ユーザーに完全アクセスを許可します。

   ~]# mkdir /test

   ~]# chmod 777 /test/

5. test.tar ファイルを test/ にコピーします。

   ~]$ cp /var/www/html/test.tar /test/

6. test/ ディレクトリーに移動し、以下のコマンドを実行して tar アーカイブを抽出します。--selinux オプションを指定してください。これを行わないと、SELinux コンテキストが default_t に変更されます。

   ~]$ cd /test/

   test]$ tar --selinux -xvf test.tar

7. SELinux コンテキストを確認します。httpd_sys_content_t タイプが維持されたことが分かります。--selinux を使用していなければ、default_t に変更されていました。

   test]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.tar

8. test/ ディレクトリーが不要になったら、root で以下のコマンドを実行し、ディレクトリーとその中の全ファイルを削除します。

   ~]# rm -ri /test/

手順4.18 star アーカイブを作成する

1. root で /var/www/html/ ディレクトリーに 3 つのファイルを作成します (file1、file2、file3)。これらのファイルは /var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3

2. /var/www/html/ ディレクトリーに移動し、root で以下のコマンドを実行して test.star という名前の star アーカイブを作成します。

   ~]$ cd /var/www/html

   html]# star -xattr -H=exustar -c -f=test.star file{1,2,3}
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).

3. root で test/ という名前の新規ディレクトリーを作成し、全ユーザーに完全アクセスを許可します。

   ~]# mkdir /test

   ~]# chmod 777 /test/

4. 以下のコマンドを実行して、test.star ファイルを test/ にコピーします。

   ~]$ cp /var/www/html/test.star /test/

5. test/ ディレクトリーに移動し、以下のコマンドを実行して star アーカイブを抽出します。

   ~]$ cd /test/

   test]$ star -x -f=test.star 
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).

6. SELinux コンテキストを確認します。httpd_sys_content_t タイプが維持されたことが分かります。-xattr -H=exustar オプションを使用していなければ、default_t に変更されていました。

   ~]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.star

7. test/ ディレクトリーが不要になったら、root で以下のコマンドを実行し、ディレクトリーとその中の全ファイルを削除します。

   ~]# rm -ri /test/

8. star が不要になったら、root でパッケージを削除します。

   ~]# yum remove star

手順4.19 SELinux MLS ポリシーを有効にする

1. selinux-policy-mls パッケージをインストールします。

   ~]# yum install selinux-policy-mls

2. MLS ポリシーを有効にする前に、ファイルシステム上のすべてのファイルが MLS ラベルで再ラベル付けされる必要があります。ファイルシステムが再ラベル付けされると、制限のあるドメインはアクセスが拒否され、システムが正常に起動できない可能性があります。これを回避するには、/etc/selinux/config ファイルで SELINUX=permissive と設定します。また、SELINUXTYPE=mls と設定して MLS ポリシーを有効にします。設定ファイルは以下のようになります。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=permissive
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls

3. SELinux が permissive モードで実行されていることを確認します。

   ~]# setenforce 0

   ~]$ getenforce
   Permissive

4. fixfiles コマンドを使用して /.autorelabel ファイルを作成します。-F オプションを使用して、次回リブート時にファイルに再ラベル付けされるようにします。

   ~]# fixfiles -F onboot

5. システムをリブートします。次回の起動時にすべてのファイルシステムが MLS ポリシーにしたがって再ラベル付けされます。ラベルプロセスでは、全ファイルが適切な SELinux コンテキストでラベル付けされます。

   *** Warning -- SELinux mls policy relabel is required.
   *** Relabeling could take a very long time, depending on file
   *** system size and speed of hard drives.
   ***********

   一番下の行の * (アスタリスク) 記号はそれぞれ、ラベル付けされた 1000 ファイルを表します。上記の例では、11 個の * 記号はラベル付けされた 11000 ファイルを表しています。全ファイルにラベル付けする時間はシステム上のファイル数とハードディスクドライブの速度によって異なります。最近のシステムでは、このプロセスは 10 分程度で終わります。ラベリングプロセスが完了すると、システムは自動で再起動します。
6. permissive モードでは SELinux ポリシーは強制されませんが、enforcing モードであれば拒否されたはずのアクションについては拒否がログに記録されます。enforcing モードに変更する前に、root で以下のコマンドを実行して、SELinux が最後の起動時にアクセスを拒否しなかったことを確認します。最後の起動時にアクセス拒否がなかった場合は、このコマンドはなにも返しません。起動時に SELinux がアクセスを拒否した場合は、トラブルシューティング情報を「11章トラブルシューティング」で参照してください。

   ~]# grep "SELinux is preventing" /var/log/messages

7. /var/log/messages ファイルに拒否メッセージがない場合、または既存の拒否をすべて解決した場合は、/etc/selinux/config ファイルで SELINUX=enforcing と設定します。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=enforcing
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls

8. システムを再起動し、SELinux が enforcing モードで稼働していることを確認します。

   ~]$ getenforce
   Enforcing

   MLS ポリシーが有効であることも確認します。

   ~]# sestatus |grep mls
   Policy from config file:        mls

手順4.20 特別の MLS 範囲を持つユーザーの作成

1. useradd コマンドで新規 Linux ユーザーを追加し、このユーザーを既存の SELinux ユーザーにマッピングします (このケースでは staff_u)。

   ~]# useradd -Z staff_u john

2. 新規作成の Linux ユーザーにパスワードを割り当てます。

   prompt~]# passwd john

3. root で以下のコマンドを実行し、SELinux ユーザーと Linux ユーザー間のマッピングを表示します。出力は以下のようになります。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s0-s15:c0.c1023      *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

4. ユーザー john の特定範囲を定義します。

   ~]# semanage login --modify --range s2:c100 john

5. SELinux ユーザーと Linux ユーザー間のマッピングを再度表示します。ユーザー john に特定の MLS 範囲が定義されていることに注意してください。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s2:c100              *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

6. john のホームディレクトリーのラベル修正が必要な場合には、以下のコマンドを実行します。

   ~]# chcon -R -l s2:c100 /home/john

手順4.21 Polyinstantiation ディレクトリーを有効にする

1. /etc/security/namespace.conf ファイルの最後の 3 行をコメント解除し、/tmp、/var/tmp/、ユーザーのホームディレクトリーのインスタンス化を有効にします。

   ~]$ tail -n 3 /etc/security/namespace.conf
   /tmp     /tmp-inst/            level      root,adm
   /var/tmp /var/tmp/tmp-inst/    level      root,adm
   $HOME    $HOME/$USER.inst/     level

2. /etc/pam.d/login ファイルで pam_namespace.so がセッション用に設定されていることを確認します。

   ~]$ grep namespace /etc/pam.d/login
   session    required     pam_namespace.so

3. システムを再起動します。

1. 拒否メッセージおよび関連するシステムコールは、/var/log/audit/audit.log ファイルにログ記録されます。

   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   
   type=SYSCALL msg=audit(1226270358.848:238): arch=40000003 syscall=39 success=no exit=-13 a0=39a2bf a1=3ff a2=3a0354 a3=94703c8 items=0 ppid=13344 pid=13349 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="certwatch" exe="/usr/bin/certwatch" subj=system_u:system_r:certwatch_t:s0 key=(null)

   この例では、certwatch は var_t タイプのラベルが付けられたディレクトリーへの書き込みアクセスが拒否されました。「sealert メッセージ」にあるように拒否メッセージを分析します。ラベル変更がないもしくはブール値で許可されたアクセスがない場合は、audit2allow を使ってローカルポリシーモジュールを作成します。
2. 以下のコマンドを実行して、アクセスが拒否された理由についてヒューマンリーダブルな記述を作成します。audit2allow ユーティリティーは /var/log/audit/audit.log を読み取るので、root ユーザーで実行する必要があります。

   ~]# audit2allow -w -a
   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   	Was caused by:
   		Missing type enforcement (TE) allow rule.
   
   	You can use audit2allow to generate a loadable module to allow this access.

   -a コマンドラインオプションにより、すべてを監査ログが読み取られます。-w オプションでは、ヒューマンリーダブルな記述が作成されます。上記では Type Enforcement ルールがないのでアクセスが拒否されました。
3. 以下のコマンドを実行して、拒否されたアクセスを許可する Type Enforcement ルールを表示します。

   ~]# audit2allow -a
   
   
   #============= certwatch_t ==============
   allow certwatch_t var_t:dir write;

   重要

   Type Enforcement ルールの欠如は通常、SELinux ポリシーのバグによって引き起こされ、Red Hat Bugzilla で報告されるべきです。Red Hat Enterprise Linux の場合、Red Hat Enterprise Linux 製品に対してバグを作成し、selinux-policy コンポーネントを選択します。バグ報告では、audit2allow -w -a および audit2allow -a コマンドの出力も報告してください。
4. audit2allow -a が表示したルールを使うには、root で以下のコマンドを実行してカスタムモジュールを作成します。-M オプションは、現在作業中のディレクトリーに -M で指定された名前のついた Type Enforcement ファイル (.te) を作成します。

   ~]# audit2allow -a -M mycertwatch
   ******************** IMPORTANT ***********************
   To make this policy package active, execute:
   
   semodule -i mycertwatch.pp

5. また、audit2allow は Type Enforcement ルールをポリシーパッケージ (.pp) にコンパイルします。

   ~]# ls
   mycertwatch.pp  mycertwatch.te

   モジュールをインストールするには、以下のコマンドを root で実行します。

   ~]# semodule -i mycertwatch.pp

   重要

   audit2allow で作成したモジュールは、必要以上にアクセスを許可する場合があります。audit2allow で作成されたモジュールは、アップストリームの SELinux リストに公表してレビューされることが推奨されます。ポリシーにバグがあると思われる場合は、Red Hat Bugzilla でバグを作成してください。

1. root で mkdir ユーティリティーを使用して最上位のディレクトリーを作成します。

   ~]# mkdir /mywebsite

2. root で /mywebsite/index.html ファイルを作成します。以下のコンテンツを /mywebsite/index.html にコピーして貼り付けます。

   <html>
   <h2>index.html from /mywebsite/</h2>
   </html>

3. /mywebsite/ およびその配下のファイルやサブディレクトリーへの読み取り専用アクセスを Apache HTTP Server に許可するために、このディレクトリー に httpd_sys_content_t タイプのラベルを付けます。root で以下のコマンドを実行してラベルの変更をファイルコンテキスト設定に追加します。

   ~]# semanage fcontext -a -t httpd_sys_content_t "/mywebsite(/.*)?"

4. root で restorecon を使用してラベル変更を適用します。

   ~]# restorecon -R -v /mywebsite
   restorecon reset /mywebsite context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /mywebsite/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0

5. この例の場合、root で /etc/httpd/conf/httpd.conf ファイルを編集します。既存の DocumentRoot オプションをコメントアウトし、DocumentRoot "/mywebsite" オプションを追加します。編集後は以下のようになります。

   #DocumentRoot "/var/www/html"
   DocumentRoot "/mywebsite"

6. root で以下のコマンドを実行して Apache HTTP Server の状態を確認します。サーバーが停止している場合は起動します。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)

   ~]# systemctl start httpd.service

   サーバーが稼働している場合は、root で以下のコマンドを実行してサービスを再起動します (httpd.conf への変更にもこれを適用)。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: active (running) since Wed 2014-02-05 13:16:46 CET; 2s ago

   ~]# systemctl restart httpd.service

7. web ブラウザで http://localhost/index.html に移動します。以下のように表示されます。

   index.html from /mywebsite/

1. root で mkdir を使用して、複数サービス間でファイルを共有するための最上位の新規ディレクトリーを作成します。

   ~]# mkdir /shares

2. ファイルコンテキスト設定のパターンに合致しないファイルやディレクトリーには、default_t タイプのラベルが付いている場合があります。制限のあるサービスは、このタイプのファイルやディレクトリーにはアクセスできません。

   ~]$ ls -dZ /shares
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /shares

3. root で /shares/index.html ファイルを作成します。以下のコンテンツをコピーして /shares/index.html に貼り付けます。

   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>

4. /shares/ に public_content_t タイプのラベルを付けることで、Apache HTTP Server、FTP、rsync、Samba による読み取り専用アクセスを許可します。root で以下のコマンドを実行し、ラベルの変更をファイルコンテキスト設定に追加します。

   ~]# semanage fcontext -a -t public_content_t "/shares(/.*)?"

5. root で restorecon ユーティリティーを使用してラベル変更を適用します。

   ~]# restorecon -R -v /shares/
   restorecon reset /shares context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
   restorecon reset /shares/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0

1. samba、samba-common、samba-client の各パッケージがインストールされていることを確認します (バージョン番号は使用しているバージョンによって異なります)。

   ~]$ rpm -q samba samba-common samba-client
   samba-3.4.0-0.41.el6.3.i686
   samba-common-3.4.0-0.41.el6.3.i686
   samba-client-3.4.0-0.41.el6.3.i686

   上記のパッケージがインストールされていない場合は、root で以下のコマンドを実行して、これらをインストールします。

   ~]# yum install package-name

2. root で /etc/samba/smb.conf ファイルを編集します。Samba で /shares/ ディレクトリーを共有するために、以下のエントリーをこのファイルの末尾に追加します。

   [shares]
   comment = Documents for Apache HTTP Server, FTP, rsync, and Samba
   path = /shares
   public = yes
   writable = no

3. Samba ファイルシステムのマウントには Samba アカウントが必要になります。root で以下のコマンドを実行し、Samba アカウントを作成します。username は既存の Linux ユーザーにします。たとえば、smbpasswd -a testuser を実行すると、Linux の testuser ユーザー用の Samba アカウントが作成されます。

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.

   上記のコマンドを実行する際に、システムに存在しないアカウントのユーザー名を指定すると、Cannot locate Unix account for 'username'! エラーが発生します。
4. Samba サービスを開始します。

   ~]# systemctl start smb.service

5. 以下のコマンドを実行し、利用可能な共有を表示します。username はステップ 3 で追加した Samba アカウントにします。パスワードの入力を求められたら、ステップ 3 で Samba アカウントに割り当てたパスワードを入力します (バージョン番号は使用しているバージョンによって異なります)。

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   shares          Disk      Documents for Apache HTTP Server, FTP, rsync, and Samba
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------

6. mkdir ユーティリティーを使って新規ディレクトリーを作成します。このディレクトリーは Samba 共有の shares をマウントする際に使用します。

   ~]# mkdir /test/

7. root で以下のコマンドを実行して、Samba 共有の shares を /test/ にマウントします。username はステップ 3 のユーザー名にしてください。

   ~]# mount //localhost/shares /test/ -o user=username

   ステップ 3 で設定した username のパスワードを入力します。
8. Samba で共有されているファイルのコンテンツを表示します。

   ~]$ cat /test/index.html
   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>

1. httpd パッケージがインストールされていることを確認します (バージョン番号は使用しているバージョンによって異なります)。

   ~]$ rpm -q httpd
   httpd-2.2.11-6.i386

   このパッケージがインストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   ~]# yum install httpd

2. /var/www/html/ ディレクトリーに移動します。root で以下のコマンドを実行して /shares/ ディレクトリーへのリンク (shares という名前にします) を作成します。

   html]# ln -s /shares/ shares

3. Apache HTTP Server を起動します。

   ~]# systemctl start httpd.service

4. web ブラウザを使って http://localhost/shares に移動します。/shares/index.html が表示されます。

1. index.html ファイルを削除します。

   ~]# rm -i /shares/index.html

2. root で touch ユーティリティーを使用して /shares/ に新規ファイルを 3 つ作成します。

   ~]# touch /shares/file{1,2,3}
   ~]# ls -Z /shares/
   -rw-r--r--  root root system_u:object_r:public_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file3

3. root で以下のコマンドを実行して Apache HTTP Server の状態を確認します。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)

   サーバーが停止している場合は、これを起動します。

   ~]# systemctl start httpd.service

4. web ブラウザで http://localhost/shares に移動します。ディレクトリー一覧が表示されます。
   

1. root で /etc/httpd/conf/httpd.conf ファイルを編集し、SELinux ポリシーでは httpd 用に設定されていないポートを Listen オプションに記載します。以下の例では、httpd が IP アドレス 10.0.0.1、TCP ポート 12345 でリッスンするよう設定します。

   # Change this to Listen on specific IP addresses as shown below to 
   # prevent Apache from glomming onto all bound IP addresses (0.0.0.0)
   #
   #Listen 12.34.56.78:80
   Listen 10.0.0.1:12345

2. root で以下のコマンドを実行し、SELinux ポリシーの設定にこのポートを追加します。

   ~]# semanage port -a -t http_port_t -p tcp 12345

3. ポートが追加されたことを確認します。

   ~]# semanage port -l | grep -w http_port_t
   http_port_t                    tcp      12345, 80, 443, 488, 8008, 8009, 8443

1. samba、samba-common、samba-client の各パッケージがインストールされていることを確認します。

   ~]$ rpm -q samba samba-common samba-client
   package samba is not installed
   package samba-common is not installed
   package samba-client is not installed

   上記のパッケージがインストールされていない場合は、root で yum ユーティリティーを使用して、これらをインストールします。

   ~]# yum install package-name

2. root で mkdir を使用して、Samba 経由でファイルを共有するための最上位の新規ディレクトリーを作成します。

   ~]# mkdir /myshare

3. root で touch ユーティリティーを使用して空のファイルを作成します。このファイルは後で Samba 共有が正しくマウントされたかを確認する際に使用します。

   ~]# touch /myshare/file1

4. SELinux では、/etc/samba/smb.conf ファイルおよび Linux パーミッションが適切に設定されていれば、Samba は samba_share_t タイプのラベルが付いたファイルの読み取りおよび書き込みが可能になります。root で以下のコマンドを実行し、ファイルコンテキストの設定にラベルの変更を追加します。

   ~]# semanage fcontext -a -t samba_share_t "/myshare(/.*)?"

5. root で restorecon ユーティリティーを使用してラベル変更を適用します。

   ~]# restorecon -R -v /myshare
   restorecon reset /myshare context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
   restorecon reset /myshare/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0

6. root で /etc/samba/smb.conf ファイルを編集します。Samba で /myshare/ ディレクトリーを共有するために、以下をこのファイルの末尾に追加します。

   [myshare]
   comment = My share
   path = /myshare
   public = yes
   writable = no

7. Samba ファイルシステムのマウントには Samba アカウントが必要になります。root で以下のコマンドを実行し、Samba アカウントを作成します。username は既存の Linux ユーザーにします。たとえば、smbpasswd -a testuser を実行すると、Linux の testuser ユーザー用の Samba アカウントが作成されます。

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.

   上記のコマンドを実行する際に、システムに存在しないアカウントのユーザー名を指定すると、Cannot locate Unix account for 'username'! エラーが発生します。
8. Samba サービスを開始します。

   ~]# systemctl start smb.service

9. 以下のコマンドを実行し、利用可能な共有を表示します。username はステップ 7 で追加した Samba アカウントにします。パスワードの入力を求められたら、ステップ 7 で Samba アカウントに割り当てたパスワードを入力します (バージョン番号は使用しているバージョンによって異なります)。

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   myshare         Disk      My share
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------

10. root で mkdir ユーティリティーを使って新規ディレクトリーを作成します。このディレクトリーは Samba 共有の myshare をマウントする際に使用します。

    ~]# mkdir /test/

11. root で以下のコマンドを実行して、Samba 共有の myshare を /test/ にマウントします。username はステップ 7 のユーザー名にしてください。

    ~]# mount //localhost/myshare /test/ -o user=username

    ステップ 7 で設定した username のパスワードを入力します。
12. 以下のコマンドを実行して、ステップ 3 で作成した file1 を表示します。

    ~]$ ls /test/
    file1

1. root ユーザーで /var/www/html/file1.html ファイルを作成します。以下のコンテンツをコピーしてこのファイルに貼り付けます。

   <html>
   <h2>File being shared through the Apache HTTP Server and Samba.</h2>
   </html>

2. 以下のコマンドを実行して、file1.html の SELinux コンテキストを表示します。

   ~]$ ls -Z /var/www/html/file1.html
   -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1.html

   このファイルには httpd_sys_content_t タイプのラベルが付けられています。デフォルトでは、Apache HTTP Server はこのタイプにアクセスできますが、Samba はアクセスできません。
3. Apache HTTP Server を起動します。

   ~]# systemctl start httpd.service

4. ユーザーでの書き込みアクセスがあるディレクトリーに切り替え、以下のコマンドを実行します。デフォルト設定に変更がなければ、このコマンドは成功します。

   ~]$ wget http://localhost/file1.html
   Resolving localhost... 127.0.0.1
   Connecting to localhost|127.0.0.1|:80... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 84 [text/html]
   Saving to: `file1.html.1'
   
   100%[=======================>] 84          --.-K/s   in 0s      
   
   `file1.html.1' saved [84/84]

5. root で /etc/samba/smb.conf ファイルを編集します。Samba で /var/www/html/ ディレクトリーを共有するために、以下をこのファイルの末尾に追加します。

   [website]
   comment = Sharing a website
   path = /var/www/html/
   public = no
   writable = no

6. /var/www/html/ ディレクトリーには httpd_sys_content_t タイプのラベルが付けられています。Samba はデフォルトでは、このタイプのラベルが付いたファイルやディレクトリーには、Linux パーミッションで許可されていてもアクセスできません。Samba のアクセスを許可するには、samba_export_all_ro ブール値を有効にします。

   ~]# setsebool -P samba_export_all_ro on

   再起動後に変更を維持したくない場合は、-P を使用しないでください。samba_export_all_ro ブール値を有効にすると、Samba からいずれのタイプにもアクセスもできるようになることに注意してください。
7. Samba サービスを開始します。

   ~]# systemctl start smb.service

1. NFS サーバーが稼働している場合は、これを停止します。

   [nfs-srv]# systemctl stop nfs

   サーバーが停止したことを確認します。

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: inactive (dead)

2. /etc/sysconfig/nfs ファイルを編集して、RPCNFSDARGS フラグを "-V 4.2" に設定します。

   # Optional arguments passed to rpc.nfsd. See rpc.nfsd(8)
   RPCNFSDARGS="-V 4.2"

3. サーバーを再起動して、稼働していることを確認します。出力は以下のようになり、タイムスタンプのみが異なります。

   [nfs-srv]# systemctl start nfs

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: active (exited) since Wed 2013-08-28 14:07:11 CEST; 4s ago

4. クライアント側で NFS サーバーをマウントします。

   [nfs-client]# mount -o v4.2 server:mntpoint localmountpoint

5. すべての SELinux ラベルがサーバーからクライアントに渡されました。

   [nfs-srv]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file
   [nfs-client]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file

1. この例では、cvs と xinetd のパッケージが必要になります。これらのパッケージがインストールされていることを確認します。

   [cvs-srv]$ rpm -q cvs xinetd
   package cvs is not installed
   package xinetd is not installed

   これらのパッケージがインストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   [cvs-srv]# yum install cvs xinetd

2. root で以下のコマンドを実行して、CVS という名前のグループを作成します。

   [cvs-srv]# groupadd CVS

   これは、system-config-users ユーティリティーで行うこともできます。
3. cvsuser というユーザー名のユーザーを作成し、このユーザーを CVS グループのメンバーにします。system-config-users を使用します。
4. /etc/services ファイルを編集して、以下のように CVS サーバーのエントリをコメント解除します。

   cvspserver	2401/tcp			# CVS client/server operations
   cvspserver	2401/udp			# CVS client/server operations

5. CVS リポジトリーをファイルシステムの root 領域に作成します。SELinux を使用する場合、リポジトリーは root ファイルシステムに配置するのが最適です。こうすることで、他のサブディレクトリーに影響を与えることなく、再帰的なラベルを与えることができます。たとえば、root でリポジトリーを格納する /cvs/ ディレクトリーを作成します。

   [root@cvs-srv]# mkdir /cvs

6. 誰でもアクセスできるように /cvs/ ディレクトリーにすべてのパーミッションを与えます。

   [root@cvs-srv]# chmod -R 777 /cvs

   警告

   これは説明を目的とした例に過ぎません。実稼働システムでは、ここで示すパーミッションを使用しないでください。
7. /etc/xinetd.d/cvs ファイルを編集し、CVS セクションをコメント解除して /cvs/ ディレクトリーを使用するよう設定します。以下のようになります。

   service cvspserver
   {
   	disable	= no
   	port			= 2401
   	socket_type		= stream
   	protocol		= tcp
   	wait			= no
   	user			= root
   	passenv			= PATH
   	server			= /usr/bin/cvs
   	env			= HOME=/cvs
   	server_args		= -f --allow-root=/cvs pserver
   #	bind			= 127.0.0.1

8. xinetd デーモンを起動します。

   [cvs-srv]# systemctl start xinetd.service

9. system-config-firewall ユーティリティーを使って、ポート 2401 上で TCP を使用した着信接続を許可するルールを追加します。
10. クライアント側では、cvsuser ユーザーとして以下のコマンドを実行します。

    [cvsuser@cvs-client]$ cvs -d /cvs init

11. これで CVS は設定されましたが、SELinux ではログインおよびファイルのアクセスが拒否されます。これを確認するため、cvs-client で $CVSROOT 変数を設定し、リモートによるログインを試行します。以下のステップは cvs-client で行ってください。

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    cvs [login aborted]: unrecognized auth response from 192.168.100.1: cvs pserver: cannot open /cvs/CVSROOT/config: Permission denied

    SELinux がアクセスをブロックしました。SELinux でこのアクセスを許可するためには、以下のステップを cvs-srv で行ってください。
12. root で /cvs/ ディレクトリーのコンテキストを変更し、cvs_data_t タイプを付与して、/cvs/ 内の既存のデータおよび新規のデータすべてに再帰的にラベル付けが行われるようにします。

    [root@cvs-srv]# semanage fcontext -a -t cvs_data_t '/cvs(/.*)?'
    [root@cvs-srv]# restorecon -R -v /cvs

13. これで、クライアント cvs-client はログインして、このリポジトリ内のすべての CVS リソースにアクセスできるようになりました。

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    [cvsuser@cvs-client]$

1. squid がインストールされていることを確認します。

   ~]$ rpm -q squid
   package squid is not installed

   このパッケージがインストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   ~]# yum install squid

2. メインの設定ファイル /etc/squid/squid.conf を編集し、cache_dir ディレクティブが以下のようにコメント解除されていることを確認します。

   cache_dir ufs /var/spool/squid 100 16 256

   この行では、この例で使用する cache_dir ディレクティブのデフォルト設定を定義しています。Squid ストレージフォーマット (ufs)、キャッシュを配置するシステム上のディレクトリー (/var/spool/squid)、キャッシュに使用するメガバイト単位のディスク領域 (100)、作成される第一レベルのキャッシュディレクトリー数と第二レベルのキャッシュディレクトリー数 (それぞれ 16 と 256) の設定情報で構成されています。
3. 同じ設定ファイル内で、http_access allow localnet ディレクティブもコメント解除されていることを確認してください。これにより、Red Hat Enterprise Linux では Squid のデフォルトインストールで自動的に設定される localnet ACL からのトラフィックが許可されます。こうすることで、既存の RFC1918 ネットワーク上のクライアントマシンがプロキシ経由でアクセスできるようになります (この設定例では十分なものです)。
4. 同じ設定ファイル内で visible_hostname ディレクティブがコメント解除され、マシンのホスト名が設定されていることを確認してください。値はホストの完全修飾ドメイン名 (FQDN) にします。

   visible_hostname squid.example.com

5. root で以下のコマンドを実行し、squid デーモンを起動します。これが squid の初回の起動なので、上記の cache_dir ディレクティブで指定したキャッシュディレクトリーがこのコマンドで初期化され、デーモンが起動します。

   ~]# systemctl start squid.service

   squid が正常に起動したことを確認します。出力は以下のようになり、タイムスタンプのみが異なります。

   ~]# systemctl status squid.service
   squid.service - Squid caching proxy
      Loaded: loaded (/usr/lib/systemd/system/squid.service; disabled)
      Active: active (running) since Thu 2014-02-06 15:00:24 CET; 6s ago

6. squid プロセス ID (PID) が制限のあるサービスとして起動されていることを確認します。この例では squid_var_run_t の値で確認します。

   ~]# ls -lZ /var/run/squid.pid 
   -rw-r--r--. root squid unconfined_u:object_r:squid_var_run_t:s0 /var/run/squid.pid

7. この時点で、前に設定していた localnet ACL に接続しているクライアントマシンは、そのプロキシとしてこのホストの内部インターフェースを使用できるようになります。これはシステム全体または一般的な Web ブラウザすべてのセッティングで設定することができます。これで Squid では目的のマシンのデフォルトポートでリッスンするようになりますが (TCP 3128)、目的のマシンで許可されるのは、一般的なポートからインターネット上の他のサービスへの発信接続のみになります。これが SELinux 自体で定義されているポリシーになります。SELinux では、次のステップで示すように非標準のポートへのアクセスは拒否されます。
8. TCP ポート 10000 での web サイトのリスニングなど、クライアントが Squid プロキシを介して非標準のポートを使った要求を行うと、以下のような拒否がログ記録されます。

   SELinux is preventing the squid daemon from connecting to network port 10000

9. このアクセスを許可するには、デフォルトでは無効になっている squid_connect_any ブール値を変更する必要があります。

   ~]# setsebool -P squid_connect_any on

   注記

   再起動後に setsebool による変更を維持したくない場合は、-P オプションを使用しないでください。
10. Squid がクライアントの代わりにどのポートでも接続を開始できるようになったので、クライアントはインターネット上の非標準のポートにアクセスできるようになります。

1. mysql のデフォルトのデータベース格納場所の SELinux コンテキストを表示します。

   ~]# ls -lZ /var/lib/mysql
   drwx------. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql

   データベースファイルの格納場所にデフォルトで付けられるコンテキスト要素の mysqld_db_t が表示されています。この例で使用する新しいデータベース格納場所が期待通り正常に動作するよう、このコンテキストをその新しい場所に手作業で適用する必要があります。
2. 以下のコマンドを実行し、mysqld の root パスワードを実行して、利用可能なデータベースを表示します。

   ~]# mysqlshow -u root -p
   Enter password: *******
   +--------------------+
   |     Databases      |
   +--------------------+
   | information_schema |
   | mysql              |
   | test               |
   | wikidb             |
   +--------------------+

3. mysqld デーモンを停止します。

   ~]# systemctl stop mariadb.service

4. データベース格納場所となるディレクトリーを新規作成します。この例では /mysql/ を使用しています。

   ~]# mkdir -p /mysql

5. 古い場所にあるデータベースファイルを新しい場所にコピーします。

   ~]# cp -R /var/lib/mysql/* /mysql/

6. この場所の所有権を変更して、mysql ユーザーおよび mysql グループによるアクセスを許可します。これは従来の Unix パーミッションを設定するもので、SELinux はこれを順守します。

   ~]# chown -R mysql:mysql /mysql

7. 以下のコマンドを実行して、新規ディレクトリーの初期のコンテキストを確認します。

   ~]# ls -lZ /mysql
   drwxr-xr-x. mysql mysql unconfined_u:object_r:usr_t:s0   mysql

   新規作成されたこのディレクトリーのコンテキスト usr_t は現在、MariaDB データベースファイルの格納場所として SELinux に適したものではありません。コンテキストを変更すると、MariaDB がこの場所で正しく動作できるようになります。
8. MariaDB のメインとなる設定ファイル /etc/my.cnf をテキストエディターで開き、新しい格納場所を参照するよう datadir オプションを編集します。この例の場合、/mysql の値を入力します。

   [mysqld]
   datadir=/mysql

   このファイルを保存してから終了します。
9. mysqld を起動します。サービスは起動に失敗し、拒否メッセージが /var/log/messages ファイルにログ記録されるはずです。

   ~]# systemctl start mariadb.service
   Job for mariadb.service failed. See 'systemctl status postgresql.service' and 'journalctl -xn' for details.

   ただし、audit デーモンが setroubleshoot サービスとともに実行されている場合は、拒否メッセージは /var/log/audit/audit.log にログ記録されます。

   SELinux is preventing /usr/libexec/mysqld "write" access on /mysql. For complete SELinux messages. run sealert -l b3f01aff-7fa6-4ebe-ad46-abaef6f8ad71

   この拒否の理由は、/mysql/ に MariaDB のデータファイル用として適切なラベルが付けられていないためです。SELinux は、MariaDB が usr_t タイプのラベルが付いたコンテンツにアクセスすることを禁止しています。この問題を解決するには、以下の手順にしたがいます。
10. 以下のコマンドを実行し、/mysql/ のコンテキストマッピングを追加します。semanage ユーティリティーはデフォルトではインストールされていないことに注意してください。インストールされていない場合は、policycoreutils-python パッケージをインストールします。

    ~]# semanage fcontext -a -t mysqld_db_t "/mysql(/.*)?"

11. このマッピングは /etc/selinux/targeted/contexts/files/file_contexts.local ファイルに書き込まれます。

    ~]# grep -i mysql /etc/selinux/targeted/contexts/files/file_contexts.local
    
    /mysql(/.*)?    system_u:object_r:mysqld_db_t:s0

12. restorecon ユーティリティーを使ってこのコンテキストマッピングを稼働中のシステムに適用します。

    ~]# restorecon -R -v /mysql

13. これで /mysql/ の場所に MariaDB 用の適切なコンテキストがラベル付けされたので、mysqld を起動できます。

    ~]# systemctl start mariadb.service

14. /mysql/ のコンテキストが変更されたことを確認します。

    ~]$ ls -lZ /mysql
    drwxr-xr-x. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql

15. データ格納場所が変更され、ラベルが適切に付けられたため、mysqld デーモンが正常に起動するようになりました。この時点で、実行中の全サービスが正常に動作しているかテストしてください。

1. postgresql のデフォルトのデータベース格納場所の SELinux コンテキストを表示します。

   ~]# ls -lZ /var/lib/pgsql
   drwx------. postgres postgres system_u:object_r:postgresql_db_t:s0 data

   データベースファイルの格納場所にデフォルトで付けられるコンテキスト要素である postgresql_db_t が表示されています。この例で使用する新しいデータベース格納場所が期待通り正常に動作するよう、このコンテキストをその新しい場所に手作業で適用する必要があります。
2. データベース格納場所となるディレクトリーを新規作成します。この例では /opt/postgresql/data/ を使用します。別の場所を使用する場合は、以下のコマンドでその場所に置き換えます。

   ~]# mkdir -p /opt/postgresql/data

3. 新規作成したディレクトリーを表示します。このディレクトリーの初期コンテキストは usr_t になっている点に注意してください。このコンテキストは、SELinux が PostgreSQL に保護メカニズムを提供するには不十分です。コンテキストを変更すると、新規作成のディレクトリーが新しい領域で適切に動作することができるようになります。

   ~]# ls -lZ /opt/postgresql/
   drwxr-xr-x. root root unconfined_u:object_r:usr_t:s0   data

4. postgres ユーザーおよび postgres グループによるアクセスを許可するため所有権を変更します。これは従来の Unix パーミッションを設定するのもので、SELinux はこれを順守します。

   ~]# chown -R postgres:postgres /opt/postgresql

5. テキストエディターで /etc/systemd/system/postgresql.service ファイルを開き、新しい場所を指定するように PGDATA と PGLOG 変数を変更します。

   ~]# vi /etc/systemd/system/postgresql.service
   PGDATA=/opt/postgresql/data
   PGLOG=/opt/postgresql/data/pgstartup.log

   ファイルを保存して、テキストエディターを終了します。
   /etc/systemd/system/postgresql.service ファイルが存在しない場合は作成し、以下の内容を追加します。

   .include /lib/systemd/system/postgresql.service
   [Service]
   
   # Location of database directory
   Environment=PGDATA=/opt/postgresql/data
   Environment=PGLOG=/opt/postgresql/data/pgstartup.log

6. 新しい場所にあるデータベースを初期化します。

   ~]$ su - postgres -c "initdb -D /opt/postgresql/data"

7. データベースの場所を変更したことで、この時点ではサービスの起動に失敗します。

   ~]# systemctl start postgresql.service
   Job for postgresql.service failed. See 'systemctl status postgresql.service' and 'journalctl -xn' for details.

   サービスが起動しない原因は SELinux にあります。新しい場所に適切なラベル付けが行われていないためです。以下の手順で、新しい場所 (/opt/postgresql/) にラベルを付け、postgresql サービスを正常に起動させます。
8. semanage ユーティリティーを使用して、/opt/postgresql/ およびその配下にあるすべてのディレクトリーとファイルに対するコンテキストマッピングを追加します。

   ~]# semanage fcontext -a -t postgresql_db_t "/opt/postgresql(/.*)?"

9. このマッピングは /etc/selinux/targeted/contexts/files/file_contexts.local ファイルに書き込まれます。

   ~]# grep -i postgresql /etc/selinux/targeted/contexts/files/file_contexts.local
   
   /opt/postgresql(/.*)?    system_u:object_r:postgresql_db_t:s0

10. restorecon ユーティリティーを使ってこのコンテキストマッピングを稼働中のシステムに適用します。

    ~]# restorecon -R -v /opt/postgresql

11. これで /opt/postgresql/ の場所に PostgreSQL 用の正しいコンテキストがラベル付けされたので、postgresql サービスが正常に起動するようになります。

    ~]# systemctl start postgresql.service

12. /opt/postgresql/ のコンテキストが正しくなっていることを確認します。

    ~]$ ls -lZ /opt
    drwxr-xr-x. root root system_u:object_r:postgresql_db_t:s0 postgresql

13. ps コマンドを使って、postgresql プロセスで新しい場所が表示されるか確認します。

    ~]# ps aux | grep -i postmaster
    
    postgres 21564  0.3  0.3  42308  4032 ?        S    10:13   0:00 /usr/bin/postmaster -p 5432 -D /opt/postgresql/data/

14. データ格納場所が変更され、ラベル付けが適切に行われたため、postgresql が正常に起動するようになりました。この時点で、実行中の全サービスが正常に動作しているかテストしてください。

手順23.1 rsync を rsync_t として起動する

1. getenforce コマンドを実行して、SELinux が enforcing モードで実行していることを確認します。

   ~]$ getenforce
   Enforcing

   SELinux が enforcing モードで実行している場合は、Enforcing が返されます。
2. which コマンドを実行し、rsync バイナリがシステムパス内にあるか確認します。

   ~]$ which rsync
   /usr/bin/rsync

3. rsync をデーモンとして実行する場合、/etc/rsyncd.conf という名前を付けた設定ファイルを使用する必要があります。ここで使用している設定ファイルは非常に簡潔なファイルになっているため、利用できるオプションがすべて表示されているわけではありません。rsync デーモンの事例として必要なものを表示しています。

   log file = /var/log/rsync.log
   pid file = /var/run/rsyncd.pid
   lock file = /var/run/rsync.lock
   [files]
   	path = /srv/rsync
           comment = file area
           read only = false
           timeout = 300

4. これで、rsync がデーモンモードで動作する簡単な設定ファイルができたので、以下のコマンドでこれを起動することができます。

   ~]# systemctl start rsyncd.service

   rsyncd が正常に起動したことを確認します。出力は以下のようになり、タイムスタンプのみが異なります。

   ~]# systemctl status rsyncd.service
   rsyncd.service - fast remote file copy program daemon
      Loaded: loaded (/usr/lib/systemd/system/rsyncd.service; disabled)
      Active: active (running) since Thu 2014-02-27 09:46:24 CET; 2s ago
    Main PID: 3220 (rsync)
      CGroup: /system.slice/rsyncd.service
              └─3220 /usr/bin/rsync --daemon --no-detach

   rsync が rsync_t ドメイン内で実行するようになったため、SELinux はその保護メカニズムを rsync デーモンに適用できます。

   ~]$ ps -eZ | grep rsync
   system_u:system_r:rsync_t:s0     3220 ?        00:00:00 rsync

手順23.2 デフォルト以外のポートで rsync デーモンを実行する

1. /etc/rsyncd.conf ファイルを変更して、port = 10000 の行をファイルの冒頭にあるグローバル設定エリア内に追加します (つまり、file エリアが定義される前)。新しい設定ファイルは以下のようになります。

   log file = /var/log/rsyncd.log
   pid file = /var/run/rsyncd.pid
   lock file = /var/run/rsync.lock
   port = 10000
   [files]
           path = /srv/rsync
           comment = file area
           read only = false
   	timeout = 300

2. この新規設定で rsync デーモンを起動すると、SELinux は以下のような拒否メッセージをログ記録します。

   Jul 22 10:46:59 localhost setroubleshoot: SELinux is preventing the rsync (rsync_t) from binding to port 10000. For complete SELinux messages, run sealert -l c371ab34-639e-45ae-9e42-18855b5c2de8

3. semanage ユーティリティーを使用して TCP ポート 10000 を rsync_port_t の SELinux ポリシーに追加します。

   ~]# semanage port -a -t rsync_port_t -p tcp 10000

4. TCP ポート 10000 が rsync_port_t の SELinux ポリシーに追加されたので、rsyncd がこのポートで正常に起動し、動作するようになります。

   ~]# systemctl start rsyncd.service

   ~]# netstat -lnp | grep 10000
   tcp        0      0 0.0.0.0:10000   0.0.0.0:*      LISTEN      9910/rsync