手順3.5 sudo 移行の設定

1. 新しい SELinux ユーザーを作成し、このユーザーにデフォルトの SELinux ロールと、補助制限のある管理者ロールを指定します。

   ~]# semanage user -a -r s0-s0:c0.c1023 -R "default_role_r administrator_r" SELinux_user_u

2. デフォルトの SElinux ポリシーコンテキストファイルを設定します。たとえば、SELinux ユーザー staff_u と同じ SELinux ルールを設定するには、staff_u コンテキストファイルをコピーします。

   ~]# cp /etc/selinux/targeted/contexts/users/staff_u /etc/selinux/targeted/contexts/users/SELinux_user_u

3. 新たに作成した SELinux ユーザーを既存の Linux ユーザーにマッピングします。

   semanage login -a -s SELinux_user_u -rs0:c0.c1023 linux_user

4. /etc/sudoers.d/ ディレクトリーに Linux ユーザーと同じ名前で新しい設定ファイルを作成し、以下の文字列を追加します。

   ~]# echo "linux_user ALL=(ALL) TYPE=administrator_t ROLE=administrator_r /bin/bash " > /etc/sudoers.d/linux_user

5. restorecon ユーティリティーを使用して、linux_user ホームディレクトリーのラベルを変更します。

   ~]# restorecon -FR -v /home/linux_user

6. 新たに作成した Linux ユーザーとしてシステムにログインし、ユーザーにデフォルトの SELinux ロールのラベルがあることを確認します。

   ~]$ id -Z
   SELinux_user_u:default_role_r:SELinux_user_t:s0:c0.c1023

7. sudo を実行して、ユーザーの SELinux コンテキストを、/etc/sudoers.d/linux_user で指定した補助 SELinux ロールに変更します。sudo で使用する -i オプションは、対話式シェルが実行される原因となっていました。

   ~]$ sudo -i
   ~]# id -Z
   SELinux_user_u:administrator_r:administrator_t:s0:c0.c1023

1. SELinux を Permissive モードで有効にします。詳細は、「Permissive モードに設定する場合:」 を参照してください。
2. システムを再起動します。
3. SELinux 拒否メッセージを確認します。詳細は、「拒否の検索と表示」を参照してください。
4. 拒否がない場合は、Enforcing モードに切り替えます。詳細は、「Enforcing モードに設定する場合:」 を参照してください。

手順4.4 SELinux の無効化

1. /etc/selinux/config ファイルに SELINUX=disabled を設定します。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=disabled
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=targeted

2. システムを再起動します。再起動したら、getenforce コマンドが Disabled を返すことを確認します。

   ~]$ getenforce
   Disabled

手順4.5 ブール値の設定

1. デフォルトでは、httpd_can_network_connect_db ブール値はオフになっています。Apache HTTP Server スクリプトおよびモジュールがデータベースサーバーに接続できません。

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> off
   

2. Apache HTTP Server スクリプトおよびモジュールがデータベースサーバーに一時的に接続できるようにするには、root で以下のコマンドを入力します。

   ~]# setsebool httpd_can_network_connect_db on

3. getsebool ユーティリティーを使用して、ブール値が有効であることを確認します。

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> on
   

   これにより、Apache HTTP Server スクリプトおよびモジュールはデータベースサーバーに接続できます。
4. この変更は、再起動後は維持されません。再起動後も変更を永続化するには、root で setsebool -P boolean-name on コマンドを実行します。^[3]

   ~]# setsebool -P httpd_can_network_connect_db on

手順4.6 ファイルまたはディレクトリーのタイプの変更

1. ホームディレクトリーに移動します。
2. 新しいファイルを作成して、その SELinux コンテキストを表示します。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

   この例では、file1 の SELinux コンテキストには、SELinux の unconfined_u ユーザー、object_r ロール、user_home_t タイプ、および s0 レベルが含まれます。SELinux コンテキストの各部分の説明は、2章SELinux コンテキスト を参照してください。
3. 次のコマンドを実行して、タイプを samba_share_t に変更します。-t オプションはタイプを変更します。次に、変更を表示します。

   ~]$ chcon -t samba_share_t file1

   ~]$ ls -Z file1 
   -rw-rw-r--  user1 group1 unconfined_u:object_r:samba_share_t:s0 file1
   

4. 以下のコマンドを使用して、file1 ファイルの SELinux コンテキストを復元します。変更を確認するには、-v オプションを使用します。

   ~]$ restorecon -v file1
   restorecon reset file1 context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:user_home_t:s0
   

   この例では、前のタイプ samba_share_t は正しいタイプ user_home_t タイプに復元されます。Targeted ポリシー (Red Hat Enterprise Linux のデフォルトの SELinux ポリシー) を使用する場合、restorecon コマンドは /etc/selinux/targeted/contexts/files/ ディレクトリーのファイルを読み取り、どの SELinux コンテキストファイルが存在するかを確認します。

手順4.7 ディレクトリーとそのコンテンツタイプの変更

1. root ユーザーとして、このディレクトリー内に新しい web/ ディレクトリーを作成し、3 つの空のファイル (file1、file2、および file3) を作成します。web/ ディレクトリーおよびそのファイルには、default_t タイプのラベルが付けられます。

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

2. root で次のコマンドを実行して、web/ ディレクトリー (とそのコンテンツ) のタイプを httpd_sys_content_t に変更します。

   ~]# chcon -R -t httpd_sys_content_t /web/

   ~]# ls -dZ /web/
   drwxr-xr-x  root root unconfined_u:object_r:httpd_sys_content_t:s0 /web/
   

   ~]# ls -lZ /web/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

3. デフォルトの SELinux コンテキストを復元するには、root で restorecon ユーティリティーを使用します。

   ~]# restorecon -R -v /web/
   restorecon reset /web context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   

手順4.8 ファイルまたはディレクトリーのタイプの変更

1. root ユーザーで、/etc ディレクトリーに新しいファイルを作成します。デフォルトでは、/etc に新規に作成されたファイルには etc_t タイプのラベルが付けられます。

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1
   

   ディレクトリーの情報を一覧表示するには、次のコマンドを使用します。

   ~]$ ls -dZ directory_name

2. root で次のコマンドを実行して、file1 タイプを samba_share_t に変更します。-a オプションは新しいレコードを追加し、-t オプションはタイプ (samba_share_t) を定義します。このコマンドを実行すると、タイプを直接変更しません。file1 には、まだ etc_t タイプのラベルが付けられています。

   ~]# semanage fcontext -a -t samba_share_t /etc/file1

   ~]# ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1
   

   ~]$ semanage fcontext -C -l
   /etc/file1    unconfined_u:object_r:samba_share_t:s0
   

3. root で restorecon ユーティリティーを使用してタイプを変更します。semanage により、/etc/file1 の file_contexts.local にエントリーが追加されたため、restorecon によりタイプが samba_share_t に変わります。

   ~]# restorecon -v /etc/file1
   restorecon reset /etc/file1 context unconfined_u:object_r:etc_t:s0->system_u:object_r:samba_share_t:s0
   

手順4.9 ディレクトリーとそのコンテンツタイプの変更

1. root ユーザーとして、このディレクトリー内に新しい web/ ディレクトリーを作成し、3 つの空のファイル (file1、file2、および file3) を作成します。web/ ディレクトリーおよびそのファイルには、default_t タイプのラベルが付けられます。

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

2. root で次のコマンドを実行して、web/ ディレクトリーのタイプとその中のファイルを httpd_sys_content_t に変更します。-a オプションは新しいレコードを追加し、-t オプションはタイプを定義します (httpd_sys_content_t)。"/web(/.*)?" 正規表現を使用すると、semanage は、web/ およびその中のファイルに変更を適用します。このコマンドを実行しても、タイプを直接変更しません。web/ ファイルおよびこのファイルには、default_t タイプのラベルが付けられます。

   ~]# semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"

   ~]$ ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]$ ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

   semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" コマンドは、以下のエントリーを /etc/selinux/targeted/contexts/files/file_contexts.local に追加します。

   /web(/.*)?    system_u:object_r:httpd_sys_content_t:s0
   

3. root で restorecon ユーティリティーを使用して、web/ のタイプと、その中のすべてのファイルを変更します。-R は再帰用です。これは、web/ の下にあるすべてのファイルおよびディレクトリーに httpd_sys_content_t タイプのラベルが付けられることを意味します。semanage により、/web(/.*)? の file.contexts.local にエントリーが追加されたため、restorecon によりタイプが httpd_sys_content_t に変わります。

   ~]# restorecon -R -v /web
   restorecon reset /web context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   

   デフォルトでは、新規作成されたファイルおよびディレクトリーは親ディレクトリーの SELinux タイプを継承する点に注意してください。

手順4.10 追加したコンテキストの削除

~]# semanage fcontext -d "/web(/.*)?"

1. コンテキストを削除するには、root で次のコマンドを実行します。file_contexts.local の最初の部分は file-name|directory-name です。

   ~]# semanage fcontext -d file-name|directory-name

   以下は、file_contexts.local のコンテキストの例になります。

   /test    system_u:object_r:httpd_sys_content_t:s0
   

   最初のパートは test です。restorecon の実行後、またはファイルシステムの再ラベル付け後に、test/ ディレクトリーにhttpd_sys_content_t のラベルが付けられないようにするには、root で次のコマンドを実行して、file_contexts.local からコンテキストを削除します。

   ~]# semanage fcontext -d /test

2. root で、restorecon ユーティリティーを使用して、デフォルトの SELinux コンテキストを復元します。

手順4.11 SELinux コンテキストを保持せずにコピーする

1. ユーザーのホームディレクトリーにファイルを作成します。ファイルには、user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. /var/www/html/ ディレクトリーには、以下のコマンドのように httpd_sys_content_t タイプのラベルが付けられます。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

3. file1 が /var/www/html/ にコピーされると、httpd_sys_content_t タイプを継承します。

   ~]# cp file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1
   

手順4.12 コピー時の SELinux コンテキストの保持

1. ユーザーのホームディレクトリーにファイルを作成します。ファイルには、user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. /var/www/html/ ディレクトリーには、以下のコマンドのように httpd_sys_content_t タイプのラベルが付けられます。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

3. --preserve=context オプションを使用すると、コピー操作時に SELinux コンテキストが保持されます。以下に示すように、ファイルが /var/www/html/ にコピーされると、user_home_t タイプの file1 が保持されます。

   ~]# cp --preserve=context file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:user_home_t:s0 /var/www/html/file1
   

手順4.13 コンテキストのコピーと変更

1. ユーザーのホームディレクトリーにファイルを作成します。ファイルには、user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. --context オプションを使用して SELinux コンテキストを定義します。

   ~]$ cp --context=system_u:object_r:samba_share_t:s0 file1 file2

3. --context がない場合、file2 には unconfined_u:object_r:user_home_t コンテキストでラベルが付けられます。

   ~]$ ls -Z file1 file2
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   -rw-rw-r--  user1 group1 system_u:object_r:samba_share_t:s0 file2
   

手順4.14 既存ファイルを介したファイルのコピー

1. root として、/etc ディレクトリーに新しいファイル file1 を作成します。以下に示すように、ファイルには etc_t タイプのラベルが付けられています。

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1
   

2. 別のファイル file2 を /tmp ディレクトリーに作成します。以下に示すように、ファイルには user_tmp_t タイプのラベルが付けられます。

   ~]$ touch /tmp/file2

   ~$ ls -Z /tmp/file2
   -rw-r--r--  root root unconfined_u:object_r:user_tmp_t:s0 /tmp/file2
   

3. file1 を file2 で上書きします。

   ~]# cp /tmp/file2 /etc/file1

4. コピーした後、次のコマンドを実行すると、/etc/file1 を置き換えた /tmp/file2 の user_tmp_t タイプではなく、etc_t タイプのラベルが付けられた file1 が表示されます。

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1
   

手順4.15 ファイルとディレクトリーの移動

1. ホームディレクトリーに移動し、そこでファイルを作成します。ファイルには、user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. 以下のコマンドを入力して、/var/www/html/ ディレクトリーの SELinux コンテキストを表示します。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

   デフォルトでは、/var/www/html/ には httpd_sys_content_t タイプのラベルが付けられます。/var/www/html/ に作成されたファイルおよびディレクトリーは、このタイプを継承します。
3. root で file1 を /var/www/html/ に移動します。このファイルは移動したので、現在の user_home_t タイプを保持します。

   ~]# mv file1 /var/www/html/

   ~]# ls -Z /var/www/html/file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 /var/www/html/file1
   

手順4.16 matchpathconを使用したデフォルトの SELinux Conxtext の確認

1. root ユーザーとして、/var/www/html/ ディレクトリーに 3 つのファイル (file1、file2、および file3) を作成します。これらのファイルは、/var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

2. root で、file1 タイプを samba_share_t に変更します。Apache HTTP Server は、samba_share_t タイプのラベルが付けられたファイルまたはディレクトリーを読み取ることができないことに注意してください。

   ~]# chcon -t samba_share_t /var/www/html/file1

3. matchpathcon -V オプションは、現在の SELinux コンテキストを SELinux ポリシー内の正しいデフォルトコンテキストと比較します。以下のコマンドを実行して、/var/www/html/ ディレクトリー内の全ファイルをチェックします。

   ~]$ matchpathcon -V /var/www/html/*
   /var/www/html/file1 has context unconfined_u:object_r:samba_share_t:s0, should be system_u:object_r:httpd_sys_content_t:s0
   /var/www/html/file2 verified.
   /var/www/html/file3 verified.
   

手順4.17 tar アーカイブの作成

1. /var/www/html/ ディレクトリーに移動し、その SELinux コンテキストを表示します。

   ~]$ cd /var/www/html/

   html]$ ls -dZ /var/www/html/
   drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 .

2. root で、/var/www/html/ に 3 つのファイル (file1、file2、および file3) を作成します。これらのファイルは、/var/www/html/ から httpd_sys_content_t タイプを継承します。

   html]# touch file{1,2,3}

   html]$ ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

3. root で、以下のコマンドを実行して、test.tar という名前のtar アーカイブを作成します。SELinux コンテキストを維持するには、--selinux を使用します。

   html]# tar --selinux -cf test.tar file{1,2,3}

4. root で test/ という名前の新規ディレクトリーを作成し、すべてのユーザーによる完全なアクセスを許可します。

   ~]# mkdir /test

   ~]# chmod 777 /test/

5. test.tar ファイルを test/ にコピーします。

   ~]$ cp /var/www/html/test.tar /test/

6. test/ ディレクトリーに移動します。このディレクトリーに移動し、以下のコマンドを実行して tar アーカイブを展開します。--selinux オプションを再度指定すると、SELinux コンテキストが default_t に変更されます。

   ~]$ cd /test/

   test]$ tar --selinux -xvf test.tar

7. SELinux コンテキストを表示します。httpd_sys_content_t タイプは default_t に変更されず、保持されました。これは、--selinux が使用されていなかったとしたら、変更されていたでしょう。

   test]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.tar
   

8. test/ ディレクトリーが必要なくなった場合は、root で以下のコマンドを実行して、そのディレクトリー内のすべてのファイルも削除します。

   ~]# rm -ri /test/

手順4.18 star アーカイブの作成

1. root で、/var/www/html/ に 3 つのファイル (file1、file2、および file3) を作成します。これらのファイルは、/var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

2. /var/www/html/ ディレクトリーに変更します。このディレクトリーに、root で以下のコマンドを実行して、test.star という名前の star アーカイブを作成します。

   ~]$ cd /var/www/html

   html]# star -xattr -H=exustar -c -f=test.star file{1,2,3}
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).
   

3. root で test/ という名前の新規ディレクトリーを作成し、すべてのユーザーによる完全なアクセスを許可します。

   ~]# mkdir /test

   ~]# chmod 777 /test/

4. 次のコマンドを実行して、test.star ファイルを test/ にコピーします。

   ~]$ cp /var/www/html/test.star /test/

5. test/ に移動します。このディレクトリーに移動したら、以下のコマンドを実行して star アーカイブを展開します。

   ~]$ cd /test/

   test]$ star -x -f=test.star 
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).
   

6. SELinux コンテキストを表示します。httpd_sys_content_t タイプは default_t に変更されず、保持されています。これは、-xattr -H=exustar オプションが使用されていなかったとしたら、変更されていたでしょう。

   ~]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.star
   

7. test/ ディレクトリーが必要なくなった場合は、root で以下のコマンドを実行して、そのディレクトリー内のすべてのファイルも削除します。

   ~]# rm -ri /test/

8. star が不要になった場合は、root でパッケージを削除します。

   ~]# yum remove star

手順4.19 SELinux MLS ポリシーの有効化

1. selinux-policy-mls パッケージをインストールします。

   ~]# yum install selinux-policy-mls

2. MLS ポリシーを有効にする前に、ファイルシステムの各ファイルに、MLS ラベルで再ラベル付けする必要があります。ファイルシステムに再ラベル付けすると、制限されたドメインのアクセスが拒否される可能性があります。これにより、システムが正しく起動しなくなる可能性があります。これを防ぐには、/etc/selinux/config ファイルで SELINUX=permissive を設定します。また、SELINUXTYPE=mls を設定して、MLS ポリシーを有効にします。設定ファイルは以下のようになります。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=permissive
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

3. SELinux が Permissive モードで実行していることを確認します。

   ~]# setenforce 0

   ~]$ getenforce
   Permissive
   

4. fixfiles スクリプトを使用して、-F オプションを含む/.autorelabel ファイルを作成し、次回のシステムの再起動時にファイルに再ラベル付けされるようにします。

   ~]# fixfiles -F onboot

5. システムを再起動します。次回の起動時に、MLS ポリシーに従って、すべてのファイルシステムに再ラベル付けされます。ラベルプロセスは、適切な SELinux コンテキストを使用して、すべてのファイルにラベルを付けます。

   *** Warning -- SELinux mls policy relabel is required.
   *** Relabeling could take a very long time, depending on file
   *** system size and speed of hard drives.
   ***********
   

   一番下の行にある * (アスタリスク) 文字は、ラベル付けされている 1000 ファイルを表します。上記の例では、11 の* 文字が、ラベルが付けられた 11000 ファイルを表しています。すべてのファイルにラベルを付けるのにかかる時間は、システムのファイル数と、ハードディスクドライブの速度により異なります。最新のシステムでは、このプロセスに 10 分程度かかる場合があります。ラベリングプロセスが終了すると、システムが自動的に再起動します。
6. Permissive モードでは SELinux ポリシーは強制されませんが、Enforcing モードで実行された場合に拒否されたであろうアクションの拒否は引き続きログに記録されます。Enforcing モードに切り替える前に、root で次のコマンドを実行して、システムの最後の起動時に SELinux がアクションを拒否しなかったことを確認します。最後のシステムの起動時に SELinux がアクションを拒否しなかった場合に、このコマンドを実行しても出力は返されません。システムの起動時に SELinux がアクセスを拒否された場合のトラブルシューティングは、11章トラブルシューティング を参照してください。

   ~]# grep "SELinux is preventing" /var/log/messages

7. /var/log/messages ファイルに拒否メッセージがないか、すでに拒否を解決している場合は、/etc/selinux/config ファイルに SELINUX=enforcing を設定します。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=enforcing
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

8. システムを再起動し、SELinux が Enforcing モードで実行していることを確認します。

   ~]$ getenforce
   Enforcing
   

   MLS ポリシーが有効になっていることも確認します。

   ~]# sestatus |grep mls
   Policy from config file:        mls
   

手順4.20 特定の MLS 範囲を持つユーザーの作成

1. useradd コマンドを使用して新しい Linux ユーザーを追加し、その新しい Linux ユーザーを既存の SELinux ユーザー (この例では staff_u) にマッピングします。

   ~]# useradd -Z staff_u john

2. 新しく作成した Linux ユーザーにパスワードを割り当てます。

   prompt~]# passwd john

3. root で次のコマンドを実行し、SELinux ユーザーと Linux ユーザー間のマッピングを表示します。出力は、以下のようになります。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s0-s15:c0.c1023      *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

4. ユーザー john に指定範囲を定義します。

   ~]# semanage login --modify --range s2:c100 john

5. SELinux ユーザーと Linux ユーザー間のマッピングを再度表示します。ユーザー john には、指定した MLS レンジが定義されていることに注意してください。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s2:c100              *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

6. 必要に応じて、john のホームディレクトリーのラベルを修正するには、次のコマンドを入力します。

   ~]# chcon -R -l s2:c100 /home/john

手順4.21 ポリインスタンス化ディレクトリーの有効化

1. /etc/security/namespace.conf ファイルの最後の 3 行のコメントを解除して、/tmp、/var/tmp/、およびユーザーのホームディレクトリーのインスタンス化を有効にします。

   ~]$ tail -n 3 /etc/security/namespace.conf
   /tmp     /tmp-inst/            level      root,adm
   /var/tmp /var/tmp/tmp-inst/    level      root,adm
   $HOME    $HOME/$USER.inst/     level
   

2. /etc/pam.d/login ファイルーで、pam_namespace.so モジュールが session 用に設定されていることを確認します。

   ~]$ grep namespace /etc/pam.d/login
   session    required     pam_namespace.so
   

3. システムを再起動します。

1. 拒否メッセージと関連するシステムコールが/var/log/audit/audit.log ファイルにログ記録されます。

   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   
   type=SYSCALL msg=audit(1226270358.848:238): arch=40000003 syscall=39 success=no exit=-13 a0=39a2bf a1=3ff a2=3a0354 a3=94703c8 items=0 ppid=13344 pid=13349 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="certwatch" exe="/usr/bin/certwatch" subj=system_u:system_r:certwatch_t:s0 key=(null)
   

   この例では、certwatch は var_t タイプのラベルが付けられたディレクトリーへの書き込みアクセスを拒否します。「sealert メッセージ」に従って拒否メッセージを分析します。ラベル変更やブール値によるアクセスが許可されていない場合は、audit2allow を使用してローカルポリシーモジュールを作成します。
2. 以下のコマンドを入力して、アクセスが拒否された理由を人間が判読できるように説明します。audit2allow ユーティリティーは /var/log/audit/audit.log を読み取ります。そのような場合は、root ユーザーとして実行する必要があります。

   ~]# audit2allow -w -a
   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   	Was caused by:
   		Missing type enforcement (TE) allow rule.
   
   	You can use audit2allow to generate a loadable module to allow this access.
   

   -a コマンドラインオプションを指定すると、すべての監査ログが読み込まれます。-w オプションは、人間が判読できる記述を生成します。このように、Type Enforcement ルールがないため、アクセスが拒否されました。
3. 次のコマンドを入力して、拒否されたアクセスを許可する Type Enforcement ルールを表示します。

   ~]# audit2allow -a
   
   
   #============= certwatch_t ==============
   allow certwatch_t var_t:dir write;
   

   重要

   欠落している Type Enforcement ルールは、通常 SELinux ポリシーのバグにより発生するため、Red Hat Bugzilla で報告する必要があります。Red Hat Enterprise Linux の場合、Red Hat Enterprise Linux の製品に対してバグを作成し、selinux-policy コンポーネントを選択します。このバグレポートに、audit2allow -w -a および audit2allow -a コマンドの出力を追加します。
4. audit2allow -a が表示するルールを使用するには、root で以下のコマンドを実行して、カスタムモジュールを作成します。-M オプションは、-M で指定された名前で、現在の作業ディレクトリーに、Type Enforcement ファイル (.te) を作成します。

   ~]# audit2allow -a -M mycertwatch
   ******************** IMPORTANT ***********************
   To make this policy package active, execute:
   
   semodule -i mycertwatch.pp
   

5. また、audit2allow は、Type Enforcement ルールをポリシーパッケージ (.pp) にコンパイルします。

   ~]# ls
   mycertwatch.pp  mycertwatch.te
   

   モジュールをインストールするには、root で以下のコマンドを実行します。

   ~]# semodule -i mycertwatch.pp

   重要

   audit2allow で作成したモジュールは、必要以上のアクセスを許可する場合があります。audit2allow で作成したポリシーは、アップストリームの SELinux 一覧に投稿して確認することが推奨されます。 ポリシーにバグがあると思われる場合は、Red Hat Bugzilla でバグを作成します。

1. root で mkdir ユーティリティーを使用して、最上位のディレクトリーを作成します。

   ~]# mkdir /mywebsite

2. root として /mywebsite/index.html ファイルを作成します。以下の内容を /mywebsite/index.html にコピーアンドペーストします。

   <html>
   <h2>index.html from /mywebsite/</h2>
   </html>
   

3. Apache HTTP サーバーが、/mywebsite/、およびその下のファイルとサブディレクトリーに読み取り専用でアクセスできるようにするには、ディレクトリーに httpd_sys_content_t タイプのラベルを付けます。root で以下のコマンドを入力し、ラベルの変更を file-context 設定に追加します。

   ~]# semanage fcontext -a -t httpd_sys_content_t "/mywebsite(/.*)?"

4. restorecon ユーティリティーを root として使用し、ラベルを変更します。

   ~]# restorecon -R -v /mywebsite
   restorecon reset /mywebsite context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /mywebsite/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   

5. この例では、root として /etc/httpd/conf/httpd.conf ファイルを編集します。既存の DocumentRoot オプションをコメントアウトします。DocumentRoot "/mywebsite" オプションを追加します。編集後、これらのオプションは以下のようになります。

   #DocumentRoot "/var/www/html"
   DocumentRoot "/mywebsite"
   

6. root で以下のコマンドを入力して、Apache HTTP Server のステータスを確認します。サーバーが停止している場合は、起動します。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)
   

   ~]# systemctl start httpd.service

   サーバーが実行している場合は、root で以下のコマンドを実行してサービスを再起動します (httpd.confに加えた変更も適用されます)。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: active (running) since Wed 2014-02-05 13:16:46 CET; 2s ago
   

   ~]# systemctl restart httpd.service

7. Web ブラウザーを使用して http://localhost/index.html に移動します。以下が表示されます。

   index.html from /mywebsite/
   

1. root で mkdir ユーティリティーを使用して、複数のサービス間でファイルを共有するための新しいトップレベルディレクトリーを作成します。

   ~]# mkdir /shares

2. file-context 設定のパターンに一致しないファイルおよびディレクトリーには、default_t タイプのラベルが付けられます。このタイプは、制限のあるサービスからはアクセスできません。

   ~]$ ls -dZ /shares
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /shares
   

3. root で、/shares/index.html ファイルを作成します。以下の内容を /shares/index.html にコピーアンドペーストします。

   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>
   

4. public_content_t タイプでの /shares/ のラベル付けでは、Apache HTTP サーバー、FTP、rsync、および Samba による読み取り専用アクセスが許可されます。root で以下のコマンドを入力し、ラベルの変更を file-context 設定に追加します。

   ~]# semanage fcontext -a -t public_content_t "/shares(/.*)?"

5. restorecon ユーティリティーを root で使用し、ラベルの変更を適用します。

   ~]# restorecon -R -v /shares/
   restorecon reset /shares context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
   restorecon reset /shares/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
   

1. samba パッケージ、samba-common パッケージ、および samba-client パッケージがインストールされていることを確認します (バージョン番号が異なる場合があります)。

   ~]$ rpm -q samba samba-common samba-client
   samba-3.4.0-0.41.el6.3.i686
   samba-common-3.4.0-0.41.el6.3.i686
   samba-client-3.4.0-0.41.el6.3.i686
   

   これらのパッケージのいずれかがインストールされていない場合は、root で以下のコマンドを実行してインストールします。

   ~]# yum install package-name

2. /etc/samba/smb.conf を root で編集します。このファイルの下部に以下のエントリーを追加し、Samba で/shares/ ディレクトリーを共有します。

   [shares]
   comment = Documents for Apache HTTP Server, FTP, rsync, and Samba
   path = /shares
   public = yes
   writable = no
   

3. Samba ファイルシステムをマウントするには、Samba アカウントが必要です。root で次のコマンドを入力して、Samba アカウントを作成します。username は、既存の Linux ユーザーです。たとえば、smbpasswd -a testuser は、Linux testuser ユーザーの Samba アカウントを作成します。

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.
   

   上記のコマンドを実行し、システムに存在しないアカウントのユーザー名を指定すると、Cannot locate Unix account for 'username'! エラーが発生します。
4. Samba サービスを再起動します。

   ~]# systemctl start smb.service

5. 利用可能な共有を一覧表示するには、次のコマンドを入力します。username は、手順 3 で追加した Samba アカウントです。パスワードを求められたら、手順 3 で Samba アカウントに割り当てたパスワードを入力します (バージョン番号は異なる場合があります)。

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   shares          Disk      Documents for Apache HTTP Server, FTP, rsync, and Samba
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------
   

6. mkdir ユーティリティーを使用して、新しいディレクトリーを作成します。このディレクトリーは、shares の Samba 共有をマウントするために使用されます。

   ~]# mkdir /test/

7. root で次のコマンドを入力して、shares の Samba 共有を /test/ にマウントし、username を、手順 3 のユーザー名に置き換えます。

   ~]# mount //localhost/shares /test/ -o user=username

   手順 3 で設定した username のパスワードを入力します。
8. Samba で共有されているファイルの内容を表示します。

   ~]$ cat /test/index.html
   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>
   

1. httpd パッケージがインストールされていることを確認します (バージョン番号が異なる場合があります)。

   ~]$ rpm -q httpd
   httpd-2.2.11-6.i386
   

   このパッケージがインストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   ~]# yum install httpd

2. /var/www/html/ ディレクトリーに変更します。root で以下のコマンドを入力し、/shares/ ディレクトリーへのリンク (名前は shares) を作成します。

   html]# ln -s /shares/ shares

3. Apache HTTP サーバーを起動します。

   ~]# systemctl start httpd.service

4. Web ブラウザーを使用して http://localhost/shares に移動します。/shares/index.htmlが表示されます。

1. index.html ファイルを削除します。

   ~]# rm -i /shares/index.html

2. touch ユーティリティーを root で使用し、/shares/ に 3 つのファイルを作成します。

   ~]# touch /shares/file{1,2,3}
   ~]# ls -Z /shares/
   -rw-r--r--  root root system_u:object_r:public_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file3
   

3. root で以下のコマンドを入力して、Apache HTTP サーバーのステータスを確認します。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)
   

   サーバーが停止している場合は、起動します。

   ~]# systemctl start httpd.service

4. Web ブラウザーを使用して http://localhost/shares に移動します。ディレクトリーの一覧が表示されます。
   

1. /etc/httpd/conf/httpd.conf ファイルを root で編集し、Listen オプションに httpd の SELinux ポリシーで設定されていないポートの一覧が表示されるようにします。以下の例では、httpd が 10.0.0.1 IP アドレスおよび TCP ポート 12345 でリッスンするように設定します。

   # Change this to Listen on specific IP addresses as shown below to 
   # prevent Apache from glomming onto all bound IP addresses (0.0.0.0)
   #
   #Listen 12.34.56.78:80
   Listen 10.0.0.1:12345
   

2. root ユーザーになり、次のコマンドを実行して、SELinux ポリシー設定にポートを追加します。

   ~]# semanage port -a -t http_port_t -p tcp 12345

3. ポートが追加されたことを確認します。

   ~]# semanage port -l | grep -w http_port_t
   http_port_t                    tcp      12345, 80, 443, 488, 8008, 8009, 8443
   

1. samba パッケージ、samba-common パッケージ、および samba-client パッケージがインストールされていることを確認します。

   ~]$ rpm -q samba samba-common samba-client
   package samba is not installed
   package samba-common is not installed
   package samba-client is not installed
   

   これらのパッケージがいずれもインストールされていない場合は、root で yum ユーティリティーを使用してパッケージをインストールします。

   ~]# yum install package-name

2. mkdir ユーティリティーを root で使用し、Samba でファイルを共有するための新しいトップレベルディレクトリーを作成します。

   ~]# mkdir /myshare

3. touch ユーティリティーの root を使用して、空のファイルを作成します。このファイルは、後で Samba 共有が正しくマウントされたことを確認するために使用されます。

   ~]# touch /myshare/file1

4. /etc/samba/smb.conf ファイルおよび Linux のパーミッションが設定されていれば、samba_share_t タイプでラベル付けされたファイルの読み取りと書き込みが可能になります。root で以下のコマンドを入力し、ラベルの変更を file-context 設定に追加します。

   ~]# semanage fcontext -a -t samba_share_t "/myshare(/.*)?"

5. restorecon ユーティリティーを root で使用し、ラベルの変更を適用します。

   ~]# restorecon -R -v /myshare
   restorecon reset /myshare context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
   restorecon reset /myshare/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
   

6. root で/etc/samba/smb.conf を編集します。このファイルの下部に以下を追加し、Samba で/myshare/ ディレクトリーを共有します。

   [myshare]
   comment = My share
   path = /myshare
   public = yes
   writable = no
   

7. Samba ファイルシステムをマウントするには、Samba アカウントが必要です。root で次のコマンドを入力して、Samba アカウントを作成します。username は、既存の Linux ユーザーです。たとえば、smbpasswd -a testuser は、Linux testuser ユーザーの Samba アカウントを作成します。

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.
   

   上記のコマンドを入力し、システムに存在しないアカウントのユーザー名を指定すると、Cannot locate Unix account for 'username'! エラーが発生します。
8. Samba サービスを再起動します。

   ~]# systemctl start smb.service

9. 利用可能な共有を一覧表示するには、次のコマンドを入力します。username は、手順 7 で追加した Samba アカウントです。パスワードを求められたら、手順 7 で Samba アカウントに割り当てたパスワードを入力します (バージョン番号は異なる場合があります)。

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   myshare         Disk      My share
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------
   

10. mkdir ユーティリティーを root で実行して、新しいディレクトリーを作成します。このディレクトリーは、myshareの Samba 共有をマウントするために使用されます。

    ~]# mkdir /test/

11. root で次のコマンドを入力して、myshareの Samba 共有を /test/ にマウントし、username を、手順 7 のユーザー名に置き換えます。

    ~]# mount //localhost/myshare /test/ -o user=username

    手順 7 で設定した username のパスワードを入力します。
12. 手順 3 で作成したfile1 を表示する場合は、以下を実行します。

    ~]$ ls /test/
    file1
    

1. root で、/var/www/html/file1.html ファイルを作成します。以下の内容をこのファイルにコピーして貼り付けます。

   <html>
   <h2>File being shared through the Apache HTTP Server and Samba.</h2>
   </html>
   

2. 次のコマンドを実行すると、file1.html の SELinux コンテキストが表示されます。

   ~]$ ls -Z /var/www/html/file1.html
   -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1.html
   

   ファイルには、httpd_sys_content_t のラベルが付けられています。デフォルトでは、Apache HTTP サーバーはこのタイプにアクセスできますが、Samba はアクセスできません。
3. Apache HTTP サーバーを起動します。

   ~]# systemctl start httpd.service

4. ユーザーが書き込みアクセス権を持つディレクトリーに移動し、次のコマンドを実行します。デフォルト設定が変更されない限り、このコマンドは成功します。

   ~]$ wget http://localhost/file1.html
   Resolving localhost... 127.0.0.1
   Connecting to localhost|127.0.0.1|:80... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 84 [text/html]
   Saving to: `file1.html.1'
   
   100%[=======================>] 84          --.-K/s   in 0s      
   
   `file1.html.1' saved [84/84]
   

5. root で/etc/samba/smb.conf を編集します。このファイルの下部に以下を追加し、Samba で/var/www/html/ ディレクトリーを共有します。

   [website]
   comment = Sharing a website
   path = /var/www/html/
   public = no
   writable = no
   

6. /var/www/html/ ディレクトリーには、httpd_sys_content_t タイプのラベルが付けられています。デフォルトでは、Samba は Linux の権限があっても、このタイプのラベルが付いたファイルおよびディレクトリーにはアクセスできません。Samba のアクセスを許可するには、samba_export_all_ro ブール値を有効にします。

   ~]# setsebool -P samba_export_all_ro on

   システムを再起動しても変更を持続させない場合は、-P オプションを使用しないでください。samba_export_all_ro ブール値を有効にすると、Samba は任意のタイプにアクセスできるようになることに注意してください。
7. Samba サービスを再起動します。

   ~]# systemctl start smb.service

1. NFS サーバーが実行中の場合は、停止します。

   [nfs-srv]# systemctl stop nfs

   サーバーが停止していることを確認します。

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: inactive (dead)
   

2. /etc/sysconfig/nfs ファイルを編集して、RPCNFSDARGS フラグを "-V 4.2" に設定します。

   # Optional arguments passed to rpc.nfsd. See rpc.nfsd(8)
   RPCNFSDARGS="-V 4.2"

3. サーバーを再起動して、サーバーが実行していることを確認します。この出力には以下の情報が含まれます。タイムスタンプのみが異なります。

   [nfs-srv]# systemctl start nfs

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: active (exited) since Wed 2013-08-28 14:07:11 CEST; 4s ago
   

4. クライアントで、NFS サーバーをマウントします。

   [nfs-client]# mount -o v4.2 server:mntpoint localmountpoint

5. すべての SELinux ラベルが、サーバーからクライアントに正常に渡されるようになりました。

   [nfs-srv]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file
   [nfs-client]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file

1. この例では、cvs パッケージと xinetd パッケージが必要です。パッケージがインストールされていることを確認します。

   [cvs-srv]$ rpm -q cvs xinetd
   package cvs is not installed
   package xinetd is not installed
   

   インストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   [cvs-srv]# yum install cvs xinetd

2. root で次のコマンドを実行して、CVS という名前のグループを作成します。

   [cvs-srv]# groupadd CVS

   これは、system-config-users ユーティリティーを使用しても実行できます。
3. ユーザー名が cvsuser のユーザーを作成し、作成したユーザーを CVS グループのメンバーにします。これは、system-config-users を使用して実行できます。
4. /etc/services を編集し、CVS サーバーに、以下のようなコメント解除されたエントリーがあることを確認します。

   cvspserver	2401/tcp			# CVS client/server operations
   cvspserver	2401/udp			# CVS client/server operations
   

5. ファイルシステムの root 領域に CVS リポジトリーを作成します。SELinux を使用する場合は、root ファイルシステムにリポジトリーを置いて、他のサブディレクトリーに影響を及ぼさずに再帰的なラベルを付けられるようにすることが最善の方法です。たとえば、root で、リポジトリーを格納する/cvs/ ディレクトリーを作成します。

   [root@cvs-srv]# mkdir /cvs

6. すべてのユーザーに、/cvs/ ディレクトリーの完全なパーミッションを付与します。

   [root@cvs-srv]# chmod -R 777 /cvs

   警告

   これは単なる例で、このような権限は実稼働システムでは使用できません。
7. /etc/xinetd.d/cvs ファイルを編集し、CVS セクションがコメント解除されており、/cvs/ ディレクトリーを使用するように設定されていることを確認します。ファイルは以下のようになります。

   service cvspserver
   {
   	disable	= no
   	port			= 2401
   	socket_type		= stream
   	protocol		= tcp
   	wait			= no
   	user			= root
   	passenv			= PATH
   	server			= /usr/bin/cvs
   	env			= HOME=/cvs
   	server_args		= -f --allow-root=/cvs pserver
   #	bind			= 127.0.0.1
   

8. xinetd デーモンを起動します。

   [cvs-srv]# systemctl start xinetd.service

9. system-config-firewall ユーティリティーを使用して、ポート 2401 で TCP 経由での着信接続を許可する規則を追加します。
10. クライアントで、cvsuser ユーザーとして以下のコマンドを実行します。

    [cvsuser@cvs-client]$ cvs -d /cvs init

11. この時点で、CVS は設定されていますが、SELinux はログインとファイルアクセスを拒否します。これを実証するには、cvs-client で $CVSROOT 変数を設定し、リモートでログインを試みます。cvs-client では、以下の手順を行う必要があります。

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    cvs [login aborted]: unrecognized auth response from 192.168.100.1: cvs pserver: cannot open /cvs/CVSROOT/config: Permission denied
    

    SELinux がアクセスをブロックしました。SELinux にこのアクセスを許可させるために、次のステップは cvs-srv で実行されることになっています。
12. /cvs/ディレクトリーのコンテキストを root 権限で変更し、/cvs/ディレクトリーの既存データーおよび新規データーに再帰的にラベル付けするcvs_data_tタイプを指定します。

    [root@cvs-srv]# semanage fcontext -a -t cvs_data_t '/cvs(/.*)?'
    [root@cvs-srv]# restorecon -R -v /cvs

13. クライアント cvs-client は、このリポジトリーにログインし、すべての CVS リソースにアクセスできるようになります。

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    [cvsuser@cvs-client]$
    

1. squidがインストールされていることを確認します。

   ~]$ rpm -q squid
   package squid is not installed
   

   このパッケージがインストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   ~]# yum install squid

2. 主な設定ファイル /etc/squid/squid.conf を編集し、cache_dir ディレクティブがコメント解除されており、以下のようになっていることを確認します。

   cache_dir ufs /var/spool/squid 100 16 256
   

   この行は、この例で使用する cache_dir ディレクティブのデフォルト設定を指定します。これは、Squid ストレージ形式 (ufs)、キャッシュが存在するシステムのディレクトリー (/var/spool/squid)、キャッシュに使用するディスク領域の量 (100)、および作成する第 1 レベルおよび第 2 レベルのキャッシュディレクトリーの数 (それぞれ 16 および 256) で設定されます。
3. 同じ設定ファイルで、http_access allow localnet ディレクティブのコメントが解除されていることを確認します。これにより、Red Hat Enterprise Linux への Squid のデフォルトインストールで自動的に設定される localnet ACL からのトラフィックが許可されます。これにより、既存の RFC1918 ネットワークのクライアントマシンがプロキシーを介してアクセスできるようになります。これは、この単純な例としては十分です。
4. 同じ設定ファイルで、visible_hostname ディレクティブがコメント解除され、マシンのホスト名に設定されていることを確認します。この値は、ホストの完全修飾ドメイン名 (FQDN) にする必要があります。

   visible_hostname squid.example.com
   

5. root で、以下のコマンドを実行して、squid デーモンを起動します。squid を初めて起動する際に、このコマンドは、cache_dir ディレクティブで指定した方法でキャッシュディレクトリーを初期化し、デーモンを起動します。

   ~]# systemctl start squid.service

   squid が正常に起動していることを確認します。この出力には、以下の情報が含まれます。タイムスタンプのみが異なります。

   ~]# systemctl status squid.service
   squid.service - Squid caching proxy
      Loaded: loaded (/usr/lib/systemd/system/squid.service; disabled)
      Active: active (running) since Thu 2014-02-06 15:00:24 CET; 6s ago
   

6. squid_var_run_t 値からわかるように、squid プロセス ID (PID) が制限付きサービスとして起動していることを確認します。

   ~]# ls -lZ /var/run/squid.pid 
   -rw-r--r--. root squid unconfined_u:object_r:squid_var_run_t:s0 /var/run/squid.pid
   

7. この時点で、以前に設定した localnet ACL に接続したクライアントマシンは、このホストの内部インターフェイスをプロキシーとして正常に使用できます。これは、すべての一般的な Web ブラウザーの設定で、またはシステム全体で設定できます。Squid はターゲットマシン (TCP 3128) のデフォルトポートでリッスンしていますが、ターゲットマシンは共通ポートを介したインターネット上の他のサービスへの発信接続のみを許可します。これは、SELinux 自体が定義するポリシーです。次の手順で示すように、SELinux は標準以外のポートへのアクセスを拒否します。
8. クライアントが、TCP ポート 10000 でリッスンしている Web サイトなどの Squid プロキシーを使用して、標準以外のポートを使用して要求を行うと、以下のような拒否がログに記録されます。

   SELinux is preventing the squid daemon from connecting to network port 10000
   

9. これを可能にするには、squid_connect_any ブール値を変更する必要があります。これは、既定で無効になっているためです。

   ~]# setsebool -P squid_connect_any on

   注記

   再起動後も、setsebool の変更を保持したくない場合は、-P オプションを使用しないでください。
10. Squid がクライアントに代わってポートへの接続を開始できるようになったため、クライアントはインターネットの標準以外のポートにアクセスできるようになりました。

1. mysql のデフォルトのデータベースの場所の SELinux コンテキストを表示します。

   ~]# ls -lZ /var/lib/mysql
   drwx------. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql
   

   これは、データベースファイルの場所のデフォルトのコンテキスト要素であるmysqld_db_t を示しています。このコンテキストを適切に機能させるために、この例で使用される新しいデータベースの場所に、手動で適用する必要があります。
2. 次のコマンドを入力し、mysqld root パスワードを入力して、利用可能なデータベースを表示します。

   ~]# mysqlshow -u root -p
   Enter password: *******
   +--------------------+
   |     Databases      |
   +--------------------+
   | information_schema |
   | mysql              |
   | test               |
   | wikidb             |
   +--------------------+
   

3. mariadb.service サービスを停止します。

   ~]# systemctl stop mariadb.service

4. データベースの新しい場所に、新しいディレクトリーを作成します。この例では、/mysql/ が使用されています。

   ~]# mkdir -p /mysql

5. 古い場所から新しい場所に、データベースファイルをコピーします。

   ~]# cp -R /var/lib/mysql/* /mysql/

6. mysql ユーザーおよびグループによるアクセスを許可するように、この場所の所有権を変更します。これにより、SELinux が引き続き監視する従来の Unix パーミッションが設定されます。

   ~]# chown -R mysql:mysql /mysql

7. 以下のコマンドを実行すると、作成したディレクトリーの初期コンテキストが表示されます。

   ~]# ls -lZ /mysql
   drwxr-xr-x. mysql mysql unconfined_u:object_r:usr_t:s0   mysql
   

   新しく作成されたこのディレクトリーのコンテキストusr_t は、現在、MariaDB データベースファイルの場所として SELinux には適していません。コンテキストを変更すると、MariaDB はこのエリアで適切に機能できるようになります。
8. テキストエディターで、MariaDB のメイン設定ファイル/etc/my.cnfを開き、新しい場所を参照できるように datadir オプションを変更します。この例で入力する必要のある値は、/mysql です。

   [mysqld]
   datadir=/mysql
   

   このファイルを保存して終了します。
9. mariadb.service を起動します。サービスの起動に失敗し、拒否メッセージが/var/log/messages ファイルに記録されます。

   ~]# systemctl start mariadb.service
   Job for mariadb.service failed. See 'systemctl status mariadb.service' and 'journalctl -xn' for details.
   

   ただし、audit デーモンが setroubleshoot とともに実行されている場合は、拒否のログが /var/log/audit/audit.log に記録されます。

   SELinux is preventing /usr/libexec/mysqld "write" access on /mysql. For complete SELinux messages. run sealert -l b3f01aff-7fa6-4ebe-ad46-abaef6f8ad71
   

   この拒否の理由は、MariaDB データファイルに対して /mysql/ が正しくラベル付けされていないことです。SELinux により、MariaDB が usr_t とラベル付けされたコンテンツにアクセスできなくなりました。この問題を解決するには、以下の手順を実行します。
10. 以下のコマンドを入力して、/mysql/ のコンテキストマッピングを追加します。semanage ユーティリティーは、デフォルトではインストールされないことに注意してください。同梱されていない場合は、policycoreutils-python をインストールしてください。

    ~]# semanage fcontext -a -t mysqld_db_t "/mysql(/.*)?"

11. このマッピングは、/etc/selinux/targeted/contexts/files/file_contexts.local ファイルに書き込まれます。

    ~]# grep -i mysql /etc/selinux/targeted/contexts/files/file_contexts.local
    
    /mysql(/.*)?    system_u:object_r:mysqld_db_t:s0
    

12. これで restorecon ユーティリティーを使用して、このコンテキストマッピングを実行中のシステムに適用します。

    ~]# restorecon -R -v /mysql

13. /mysql/ の場所には MariaDB の正しいコンテキストでラベル付けされ、mysqld が起動します。

    ~]# systemctl start mariadb.service

14. /mysql/ に対してコンテキストが変更されたことを確認します。

    ~]$ ls -lZ /mysql
    drwxr-xr-x. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql
    

15. この場所が変更され、ラベルが付けられ、mysqld が正常に起動されました。この時点で、実行中のすべてのサービスをテストして、通常の操作を確認してください。