手順3.5 sudo 遷移の設定

1. 新しい SELinux ユーザーを作成して、デフォルトの SELinux ロールと、このユーザーの補助制限のある管理者ロールを指定します。

   ~]# semanage user -a -r s0-s0:c0.c1023 -R "default_role_r administrator_r" SELinux_user_u

2. デフォルトの SElinux ポリシーコンテキストファイルを設定します。たとえば、SELinux ユーザー staff_u と同じ SELinux ルールを設定するには、staff_u コンテキストファイルをコピーします。

   ~]# cp /etc/selinux/targeted/contexts/users/staff_u /etc/selinux/targeted/contexts/users/SELinux_user_u

3. 新たに作成した SELinux ユーザーを既存の Linux ユーザーにマッピングします。

   semanage login -a -s SELinux_user_u -rs0:c0.c1023 linux_user

4. /etc/sudoers.d/ ディレクトリーに Linux ユーザーと同じ名前の新規設定ファイルを作成し、以下の文字列を追加します。

   ~]# echo "linux_user ALL=(ALL) TYPE=administrator_t ROLE=administrator_r /bin/sh " > /etc/sudoers.d/linux_user

5. restorecon ユーティリティーを使用して、linux_user ホームディレクトリーの再ラベル付けを行います。

   ~]# restorecon -FR -v /home/linux_user

6. 新たに作成した Linux ユーザーとしてシステムにログインすると、ユーザーにデフォルトの SELinux ロールにラベルが付けられます。

   ~]$ id -Z
   SELinux_user_u:default_role_r:SELinux_user_t:s0:c0.c1023

   sudo の実行後に、/etc/sudoers.d/linux_user で指定した、補助 SELinux ロールにユーザーの SELinux コンテキストが変更されます。sudo で使用する -i オプションは、インタラクティブシェルが実行されていました。

   ~]$ sudo -i
   ~]# id -Z
   SELinux_user_u:administrator_r:administrator_t:s0-s0:c0.c1023

   最初のステップで指定された例からの SELinux_user_u ユーザーの場合、出力は以下のようになります。

   ~]$ id -Z
   confined_u:staff_r:staff_t:s0:c0.c1023
   ~]$ sudo -i
   ~]# id -Z
   confined_u:webadm_r:webadm_t:s0:c0.c1023

   この例では、デフォルトの割り当てられたロール staff_r で、新しい SELinux ユーザー confined_u を作成し、sudo が、staff_ u のロールを staff_ r から webadm_r に変更するよう設定します。

   ~]# semanage user -a -r s0-s0:c0.c1023 -R "staff_r webadm_r" confined_u
   ~]# cp /etc/selinux/targeted/contexts/users/staff_u /etc/selinux/targeted/contexts/users/confined_u
   ~]# semanage login -a -s confined_u -rs0:c0.c1023 linux_user
   ~]# restorecon -FR -v /home/linux_user
   ~]# echo "linux_user ALL=(ALL) TYPE=webadm_t ROLE=webadm_r /bin/sh " > /etc/sudoers.d/linux_user

   新たに作成した Linux ユーザーとしてシステムにログインすると、ユーザーにデフォルトの SELinux ロールにラベルが付けられます。

   ~]$ id -Z
   confined_u:staff_r:staff_t:s0:c0.c1023
   ~]$ sudo -i
   ~]# id -Z
   confined_u:webadm_r:webadm_t:s0:c0.c1023

1. SELinux を Permissive モードで有効にします。詳細は、「Permissive モード」 を参照してください。
2. システムを再起動します。
3. SELinux 拒否メッセージを確認します。詳細は、「サービス拒否検索および表示」 を参照してください。
4. 拒否がない場合は、Enforcing モードに切り替えます。詳細は、「Enforcing モード」 を参照してください。

手順4.4 SELinux の無効化

1. /etc/selinux/config ファイルに SELINUX=disabled を設定します。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=disabled
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=targeted

2. システムを再起動します。再起動したら、getenforce コマンドが Disabled を返すことを確認します。

   ~]$ getenforce
   Disabled

手順4.5 ブール値の設定

1. デフォルトでは、httpd_can_network_connect_db ブール値は off で、Apache HTTP Server スクリプトおよびモジュールがデータベースサーバーに接続されないようにします。

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> off
   

2. 一時的に Apache HTTP Server スクリプトとモジュールがデータベースサーバーに接続できるようにするには、root で以下のコマンドを入力します。

   ~]# setsebool httpd_can_network_connect_db on

3. The getsebool ユーティリティーを使用して、ブール値が有効であることを確認します。

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> on
   

   これにより、Apache HTTP Server スクリプトとモジュールがデータベースサーバーに接続できます。
4. この変更は、再起動後も維持されません。再起動後も変更を永続的にするには、root で setsebool -P boolean-name コマンドを実行します。^[3]

   ~]# setsebool -P httpd_can_network_connect_db on

手順4.6 ファイルまたはディレクトリーのタイプの変更

1. ホームディレクトリーに移動します。
2. 新しいファイルを作成し、その SELinux コンテキストを表示します。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

   この例では、file1 の SELinux コンテキストには、SELinux unconfined_u ユーザー、object_r ロール、user_home_t タイプ、s 0 レベルが含まれます。SELinux コンテキストの各部分の説明は、2章SELinux Contexts を参照してください。
3. 以下のコマンドを入力して、タイプを samba_share_t に変更します。-t オプションは、タイプのみを変更します。次に、変更を表示します。

   ~]$ chcon -t samba_share_t file1

   ~]$ ls -Z file1 
   -rw-rw-r--  user1 group1 unconfined_u:object_r:samba_share_t:s0 file1
   

4. 以下のコマンドを使用して、file1 ファイルの SELinux コンテキストを復元します。-v オプションを使用して、変更内容を表示します。

   ~]$ restorecon -v file1
   restorecon reset file1 context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:user_home_t:s0
   

   この例では、前のタイプ samba_share_t が、正しい user_home_t タイプに復元されます。ターゲットポリシー（Red Hat Enterprise Linux のデフォルトの SELinux ポリシー）を使用する場合、restorecon コマンドは /etc/selinux/targeted/contexts/files/ ディレクトリーのファイルを読み取り、どの SELinux コンテキストファイルが存在するかを確認します。

手順4.7 ディレクトリーとそのコンテンツタイプの変更

1. root ユーザーとして、このディレクトリーに新しい web/ ディレクトリーを作成し、3 つの空のファイル（file1、file2、および file3）を作成します。web/ ディレクトリーおよびそのファイルには、default_t タイプのラベルが付けられます。

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

2. root で以下のコマンドを入力し、web / ディレクトリー（およびそのコンテンツ）のタイプを httpd_sys_content_t に変更します。

   ~]# chcon -R -t httpd_sys_content_t /web/

   ~]# ls -dZ /web/
   drwxr-xr-x  root root unconfined_u:object_r:httpd_sys_content_t:s0 /web/
   

   ~]# ls -lZ /web/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

3. デフォルトの SELinux コンテキストを復元するには、root で restorecon ユーティリティーを使用します。

   ~]# restorecon -R -v /web/
   restorecon reset /web context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   

手順4.8 ファイルまたはディレクトリーのタイプの変更

1. root ユーザーとして、/etc ディレクトリーに新しいファイルを作成します。デフォルトでは、/etc で新たに作成されたファイルに etc_t タイプのラベルが付けられます。

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1
   

   ディレクトリーに関する情報を一覧表示するには、以下のコマンドを使用します。

   ~]$ ls -dZ directory_name

2. root で以下のコマンドを実行して file1 タイプを samba_share_t に変更します。-a オプションは新しいレコードを追加し、- t オプションはタイプ(samba_share_t)を定義します。このコマンドを実行しても、タイプを直接変更しません。file1 には、引き続き etc_t タイプのラベルが付けられます。

   ~]# semanage fcontext -a -t samba_share_t /etc/file1

   ~]# ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1
   

   ~]$ semanage fcontext -C -l
   /etc/file1    unconfined_u:object_r:samba_share_t:s0
   

3. root で restorecon ユーティリティーを使用してタイプを変更します。semanage はエントリーを /etc/file1 の file_contexts.local に追加するため、restorecon はタイプを samba_share_t に変更します。

   ~]# restorecon -v /etc/file1
   restorecon reset /etc/file1 context unconfined_u:object_r:etc_t:s0->system_u:object_r:samba_share_t:s0
   

手順4.9 ディレクトリーとそのコンテンツタイプの変更

1. root ユーザーとして、このディレクトリーに新しい web/ ディレクトリーを作成し、3 つの空のファイル（file1、file2、および file3）を作成します。web/ ディレクトリーおよびそのファイルには、default_t タイプのラベルが付けられます。

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

2. root で以下のコマンドを入力し、web / ディレクトリーとそのファイルのタイプを httpd_sys_content_t に変更します。-a オプションは新しいレコードを追加し、- t オプションはタイプ(httpd_sys_content_t)を定義します。「/ web(/.*)?」 正規表現により、semanage は変更を web/ に適用し、その下のファイルも含まれます。このコマンドを実行すると、直接タイプは変更されません。web/および ファイル内の web/ およびファイルには、default_t タイプのラベルが付けられます。

   ~]# semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"

   ~]$ ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]$ ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

   semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" コマンドは、以下のエントリーを /etc/selinux/targeted/contexts/files/file_contexts.local に追加します。

   /web(/.*)?    system_u:object_r:httpd_sys_content_t:s0
   

3. root で restorecon ユーティリティーを使用して web/ のタイプと、そのファイル内のすべてのファイルを変更します。-R は再帰的なものです。つまり、web / 下のすべてのファイルおよびディレクトリーには httpd_sys_content_t タイプのラベルが付けられます。semanage はエントリーを /web(/.*)? の file.contexts.local に追加したため、restorecon はタイプを httpd_sys_content_t に変更します。

   ~]# restorecon -R -v /web
   restorecon reset /web context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   

   デフォルトでは、新たに作成したファイルおよびディレクトリーは、親ディレクトリーの SELinux タイプを継承することに注意してください。

手順4.10 追加したコンテキストの削除

~]# semanage fcontext -d "/web(/.*)?"

1. コンテキストを削除するには、root で以下のコマンドを入力します。ここで、file-name | directory-name|directory-name は file_contexts.local の最初の部分になります。

   ~]# semanage fcontext -d file-name|directory-name

   以下は、file_contexts.local のコンテキストの例になります。

   /test    system_u:object_r:httpd_sys_content_t:s0
   

   最初の部分が テスト中 です。restorecon の実行後に test/ ディレクトリーに、またはファイルシステムのラベル後に httpd_sys_content_t でラベル付けされないようにするには、root で以下のコマンドを入力して、file_contexts.local からコンテキストを削除します。

   ~]# semanage fcontext -d /test

2. root で restorecon ユーティリティーを使用してデフォルトの SELinux コンテキストを復元します。

手順4.11 事前の SELinux コンテキストを使用しないコピー

1. ユーザーのホームディレクトリーにファイルを作成します。このファイルには user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. /var/www/html/ ディレクトリーには、以下のコマンドのように httpd_sys_content_t タイプのラベルが付けられます。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

3. file1 が /var/www/html/ にコピーされると、httpd_sys_content_t タイプが継承されます。

   ~]# cp file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1
   

手順4.12 コピー時の SELinux コンテキストの保存

1. ユーザーのホームディレクトリーにファイルを作成します。このファイルには user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. /var/www/html/ ディレクトリーには、以下のコマンドのように httpd_sys_content_t タイプのラベルが付けられます。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

3. --preserve=context オプションを使用すると、コピー操作中に SELinux コンテキストが保持されます。下記のとおり、file1 の user_home_t タイプは、ファイルが /var/www/html/ にコピーされた際に保持されています。

   ~]# cp --preserve=context file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:user_home_t:s0 /var/www/html/file1
   

手順4.13 コンテキストのコピーおよび変更

1. ユーザーのホームディレクトリーにファイルを作成します。このファイルには user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. --context オプションを使用して SELinux コンテキストを定義します。

   ~]$ cp --context=system_u:object_r:samba_share_t:s0 file1 file2

3. --context を使用しないと、file2 には unconfined_u:object_r:user_home_t コンテキストでラベルが付けられます。

   ~]$ ls -Z file1 file2
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   -rw-rw-r--  user1 group1 system_u:object_r:samba_share_t:s0 file2
   

手順4.14 既存のファイルを用いたファイルのコピー

1. root で、/etc ディレクトリーに新しいファイル file1 を作成します。以下に示すように、ファイルに etc_t タイプのラベルが付けられます。

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1
   

2. /tmp ディレクトリーに 別のファイル file2 を作成します。以下に示すように、ファイルに user_tmp_t タイプのラベルが付けられます。

   ~]$ touch /tmp/file2

   ~$ ls -Z /tmp/file2
   -rw-r--r--  root root unconfined_u:object_r:user_tmp_t:s0 /tmp/file2
   

3. file1 を file2 で上書きします。

   ~]# cp /tmp/file2 /etc/file1

4. コピー後に、次のコマンドは / etc/file 1 に置き換わる /tmp/file2 からの user_tmp_t タイプではなく 、etc _t タイプのラベルが付いた file 1 を表示します。

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1
   

手順4.15 ファイルおよびディレクトリーの移動

1. ホームディレクトリーに移動して、そこにファイルを作成します。このファイルには user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. 以下のコマンドを入力して、/var/www/html/ ディレクトリーの SELinux コンテキストを表示します。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

   デフォルトでは、/var/www/html/ には httpd_sys_content_t タイプのラベルが付けられます。/var/www/html/ で作成されたファイルおよびディレクトリーは、このタイプを継承します。そのため、このタイプでラベルが付けられます。
3. root で file1 を /var/www/html/ に移動します。このファイルを移動するため、現在の user_home_t タイプが維持されます。

   ~]# mv file1 /var/www/html/

   ~]# ls -Z /var/www/html/file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 /var/www/html/file1
   

手順4.16 matchpathconでデフォルトの SELinux Conxtext の確認

1. root ユーザーとして、/var/www/html/ ディレクトリーに 3 つのファイル（ file1、file2、および file 3） を作成します。これらのファイルは、/var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

2. root で file1 タイプを samba_share_t に変更します。Apache HTTP Server は、samba _share_t タイプのラベルが付いたファイルまたはディレクトリーを読み取れることができないことに注意してください。

   ~]# chcon -t samba_share_t /var/www/html/file1

3. matchpathcon -V オプションは、現在の SELinux コンテキストを SELinux ポリシーのデフォルトコンテキストと比較します。以下のコマンドを入力して、/var/www/html/ ディレクトリー内のファイルをすべて確認します。

   ~]$ matchpathcon -V /var/www/html/*
   /var/www/html/file1 has context unconfined_u:object_r:samba_share_t:s0, should be system_u:object_r:httpd_sys_content_t:s0
   /var/www/html/file2 verified.
   /var/www/html/file3 verified.
   

手順4.17 tar アーカイブの作成

1. /var/www/html/ ディレクトリーに移動し、その SELinux コンテキストを表示します。

   ~]$ cd /var/www/html/

   html]$ ls -dZ /var/www/html/
   drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 .

2. root として、/var/www/html/ に 3 つのファイル（file1、file2、および file3）を作成します。これらのファイルは、/var/www/html/ から httpd_sys_content_t タイプを継承します。

   html]# touch file{1,2,3}

   html]$ ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

3. root で以下のコマンドを実行して、test. tar という名前の tar アーカイブを作成します。--selinux を使用して SELinux コンテキストを保持します。

   html]# tar --selinux -cf test.tar file{1,2,3}

4. root で test/ という名前の新規 ディレクトリーを作成し、すべてのユーザーがそのディレクトリーにフルアクセスできるようにします。

   ~]# mkdir /test

   ~]# chmod 777 /test/

5. test.tar ファイルを test/ にコピーします。

   ~]$ cp /var/www/html/test.tar /test/

6. test/ ディレクトリーに移動します。このディレクトリーに移動したら、以下のコマンドを入力して tar アーカイブを展開します。--selinux オプションを再度指定します。指定しないと、SELinux コンテキストが default_t に変更されます。

   ~]$ cd /test/

   test]$ tar --selinux -xvf test.tar

7. SELinux コンテキストを表示します。httpd_sys_content_t タイプは、default_t に変更されずに保持されました。これは 、--selinux が使用されていました。

   test]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.tar
   

8. root として test/ ディレクトリーが必要なくなった場合は、以下のコマンドを実行してそのディレクトリーとそのファイルをすべて削除します。

   ~]# rm -ri /test/

手順4.18 星 のアーカイブの作成

1. root として、/var/www/html/ に 3 つのファイル（file1、file2、および file3）を作成します。これらのファイルは、/var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

2. /var/www/html/ ディレクトリーに移動します。このディレクトリーに移動したら、root で以下のコマンドを実行して test.star という名前の 星 のアーカイブを作成します。

   ~]$ cd /var/www/html

   html]# star -xattr -H=exustar -c -f=test.star file{1,2,3}
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).
   

3. root で test/ という名前の新規 ディレクトリーを作成し、すべてのユーザーがそのディレクトリーにフルアクセスできるようにします。

   ~]# mkdir /test

   ~]# chmod 777 /test/

4. 以下のコマンドを入力して、test.star ファイルを test / にコピーします。

   ~]$ cp /var/www/html/test.star /test/

5. test/ に変更します。このディレクトリーに移動したら、以下のコマンドを実行して 星 アーカイブを展開します。

   ~]$ cd /test/

   test]$ star -x -f=test.star 
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).
   

6. SELinux コンテキストを表示します。httpd_sys_content_t タイプは、default_t に変更されずに保持されました。これは、- xattr -H=exustar オプションが使用されていました。

   ~]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.star
   

7. root として test/ ディレクトリーが必要なくなった場合は、以下のコマンドを実行してそのディレクトリーとそのファイルをすべて削除します。

   ~]# rm -ri /test/

8. star がなくなった場合は、root でパッケージを削除します。

   ~]# yum remove star

手順4.19 SELinux MLS ポリシーの有効化

1. selinux-policy-mls パッケージをインストールします。

   ~]# yum install selinux-policy-mls

2. MLS ポリシーを有効にする前に、ファイルシステムの各ファイルに MLS ラベルでラベルを付ける必要があります。ファイルシステムの再ラベルが追加されると、制限のあるドメインへのアクセスが拒否される可能性があります。これにより、システムが正常に起動できなくなる可能性があります。これが発生しないようにするには、/etc/selinux/config ファイルで SELINUX=permissive を設定します。また、SELINUXTYPE=mls を設定して MLS ポリシーを有効にします。設定ファイルは以下のようになります。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=permissive
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

3. SELinux が Permissive モードで実行されていることを確認します。

   ~]# setenforce 0

   ~]$ getenforce
   Permissive
   

4. fixfiles スクリプトを使用して、- F オプションを含む /.autorelabel ファイルを作成し、次回の再起動時にファイルが再ラベル付けされるようにします。

   ~]# fixfiles -F onboot

5. システムを再起動します。次回の起動時に、MLS ポリシーに従ってすべてのファイルシステムの再ラベル付けが行われます。ラベルプロセスでは、適切な SELinux コンテキストですべてのファイルにラベルを付けます。

   *** Warning -- SELinux mls policy relabel is required.
   *** Relabeling could take a very long time, depending on file
   *** system size and speed of hard drives.
   ***********
   

   一番下の行の * （アスタリスク）文字は、ラベル付けされている 1000 ファイルを表します。上記の例では、eleven * 文字はラベルが付けられた 11000 ファイルを表します。すべてのファイルにラベルを付けるのにかかる時間は、システム上のファイル数やハードディスクドライブの速度によって異なります。最新のシステムでは、このプロセスに 10 分程度かかる場合があります。ラベル付けプロセスが完了すると、システムが自動的に再起動します。
6. Permissive モードでは、SELinux ポリシーは実行されませんが、Enforcing モードで実行している場合に拒否されたアクションの拒否がログに記録されます。Enforcing モードに切り換える前に、root で以下のコマンドを実行して、SELinux が最後の起動時にアクションを拒否していないことを確認します。SELinux が最後の起動時にアクションを拒否しなかった場合、このコマンドは出力を返しません。システムの起動時に SELinux がアクセスを拒否した場合は、トラブルシューティングに関する情報は、「 11章トラブルシューティング 」を参照してください。

   ~]# grep "SELinux is preventing" /var/log/messages

7. /var/log/messages ファイルに拒否メッセージがない場合や、既存のすべての拒否を解決した場合は、/ etc/selinux/config ファイルで SELINUX=enforcing を設定します。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=enforcing
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

8. システムを再起動して、SELinux が Enforcing モードで実行されていることを確認します。

   ~]$ getenforce
   Enforcing
   

   MLS ポリシーが有効化されます。

   ~]# sestatus |grep mls
   Policy from config file:        mls
   

手順4.20 特定の MLS 範囲でのユーザーの作成

1. useradd コマンドを使用して新しい Linux ユーザーを追加し、新しい Linux ユーザーを既存の SELinux ユーザー（この場合は staff_u）にマッピングします。

   ~]# useradd -Z staff_u john

2. 新たに作成した Linux ユーザーをパスワードに割り当てます。

   prompt~]# passwd john

3. root で以下のコマンドを実行して、SELinux と Linux ユーザー間のマッピングを表示します。出力は以下のようになります。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s0-s15:c0.c1023      *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

4. ユーザー john の特定の範囲を定義します。

   ~]# semanage login --modify --range s2:c100 john

5. SELinux と Linux ユーザー間のマッピングを再度表示します。ユーザー john には、特定の MLS 範囲が定義されていることに注意してください。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s2:c100              *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

6. 必要に応じて、john のホームディレクトリーでラベルを修正するには、以下のコマンドを入力します。

   ~]# chcon -R -l s2:c100 /home/john

手順4.21 ポーザーディレクトリーの有効化

1. /etc/security/namespace.conf ファイルの最後の 3 行のコメントを解除して、/ tmp、/var/tmp/、およびユーザーのホームディレクトリーのインスタンス化を可能にします。

   ~]$ tail -n 3 /etc/security/namespace.conf
   /tmp     /tmp-inst/            level      root,adm
   /var/tmp /var/tmp/tmp-inst/    level      root,adm
   $HOME    $HOME/$USER.inst/     level
   

2. /etc/pam.d/login ファイルで、pam_namespace.so モジュールがセッションに設定されていることを確認します。

   ~]$ grep namespace /etc/pam.d/login
   session    required     pam_namespace.so
   

3. システムを再起動します。

1. 拒否メッセージと関連するシステムコールが /var/log/audit/audit.log ファイルに記録されます。

   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   
   type=SYSCALL msg=audit(1226270358.848:238): arch=40000003 syscall=39 success=no exit=-13 a0=39a2bf a1=3ff a2=3a0354 a3=94703c8 items=0 ppid=13344 pid=13349 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="certwatch" exe="/usr/bin/certwatch" subj=system_u:system_r:certwatch_t:s0 key=(null)
   

   この例では、cert watch は、var _t タイプのラベルが付けられたディレクトリーへの書き込みアクセスを拒否しました。「sealert メッセージ」 に従って拒否メッセージを分析します。ラベルの変更やブール値がアクセスが許可されていない場合は、audit2allow を使用してローカルポリシーモジュールを作成します。
2. 以下のコマンドを実行して、アクセスが拒否された理由について、人間が判読できる説明を生成します。audit2allow ユーティリティーは /var/log/audit/audit.log を読み取るため、root ユーザーで実行する必要があります。

   ~]# audit2allow -w -a
   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   	Was caused by:
   		Missing type enforcement (TE) allow rule.
   
   	You can use audit2allow to generate a loadable module to allow this access.
   

   -a コマンドラインオプションにより、すべての監査ログが読み込まれます。-w オプションは、人間が判読できる説明を生成します。示されているように、Type Enforcement ルールがないため、アクセスは拒否されました。
3. 以下のコマンドを実行して、拒否されたアクセスを許可する Type Enforcement ルールを表示します。

   ~]# audit2allow -a
   
   
   #============= certwatch_t ==============
   allow certwatch_t var_t:dir write;
   

   重要

   Type Enforcement ルールがない理由は、通常、SELinux ポリシーのバグが原因となり、Red Hat Bugzilla で報告してください。Red Hat Enterprise Linux の場合は、Red Hat Enterprise Linux 製品に対してバグを作成し、selinux-policy コンポーネントを選択します。このバグレポートに、audit2allow -w -a コマンドおよび audit2allow -a コマンドの出力を追加します。
4. audit2allow -a で表示されるルールを使用するには、root で以下のコマンドを入力してカスタムモジュールを作成します。-M オプションは、現在の作業ディレクトリーに、- M で指定した名前の Type Enforcement ファイル(.te)を作成します。

   ~]# audit2allow -a -M mycertwatch
   ******************** IMPORTANT ***********************
   To make this policy package active, execute:
   
   semodule -i mycertwatch.pp
   

5. また、audit2allow は、Type Enforcement ルールをポリシーパッケージ(.pp)にコンパイルします。

   ~]# ls
   mycertwatch.pp  mycertwatch.te
   

   モジュールをインストールするには、root で以下のコマンドを入力します。

   ~]# semodule -i mycertwatch.pp

   重要

   audit2allow で作成されたモジュールは、必要なよりも多くのアクセスを許可することができます。audit2allow で作成したポリシーを、アップストリームの SELinux 一覧に投稿してレビューすることが推奨されます。 ポリシーにバグがあると思われる場合は、Red Hat Bugzilla でバグを作成します。

1. mkdir ユーティリティーを root として使用して、トップレベルのディレクトリーを作成します。

   ~]# mkdir /mywebsite

2. root で /mywebsite/index.html ファイルを作成します。/mywebsite/index.html に以下のコンテンツをコピーアンドペーストします。

   <html>
   <h2>index.html from /mywebsite/</h2>
   </html>
   

3. Apache HTTP Server が /mywebsite/ へのアクセスのみを許可し、その下のファイルおよびサブディレクトリーを許可するには、httpd_sys_content_t タイプのディレクトリーにラベルを付けます。root で以下のコマンドを入力し、ラベルの変更を file-context 設定に追加します。

   ~]# semanage fcontext -a -t httpd_sys_content_t "/mywebsite(/.*)?"

4. root として restorecon ユーティリティーを使用して、ラベルを変更します。

   ~]# restorecon -R -v /mywebsite
   restorecon reset /mywebsite context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /mywebsite/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   

5. この例では、/etc/httpd/conf/httpd.conf ファイルを root として編集します。既存の DocumentRoot オプションをコメントアウトします。a DocumentRoot "/mywebsite" オプションを追加します。編集後、これらのオプションは以下のようになります。

   #DocumentRoot "/var/www/html"
   DocumentRoot "/mywebsite"
   

6. root で以下のコマンドを実行して、Apache HTTP Server のステータスを確認します。サーバーが停止している場合は、起動します。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)
   

   ~]# systemctl start httpd.service

   サーバーを実行している場合は、root で以下のコマンドを実行してサービスを再起動します（ httpd.confに加えられた変更も適用します）。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: active (running) since Wed 2014-02-05 13:16:46 CET; 2s ago
   

   ~]# systemctl restart httpd.service

7. Web ブラウザーを使用して http://localhost/index.html に移動します。以下のような出力が表示されます。

   index.html from /mywebsite/
   

1. mkdir ユーティリティーを root として使用して、複数のサービス間でファイルを共有する新しい最上位ディレクトリーを作成します。

   ~]# mkdir /shares

2. file-context 設定のパターンに一致しないファイルおよびディレクトリーには、default_t タイプのラベルが付けられる場合があります。このタイプは、制限のあるサービスからはアクセスできません。

   ~]$ ls -dZ /shares
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /shares
   

3. root で /shares/index.html ファイルを作成します。/shares/index.html に以下のコンテンツをコピーアンドペーストします。

   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>
   

4. public_content_t タイプで /shares/ にラベルを付けると、Apache HTTP Server、FTP、rsync、および Samba による読み取り専用アクセスが許可されます。root で以下のコマンドを入力し、ラベルの変更を file-context 設定に追加します。

   ~]# semanage fcontext -a -t public_content_t "/shares(/.*)?"

5. root として restorecon ユーティリティーを使用して、ラベルの変更を適用します。

   ~]# restorecon -R -v /shares/
   restorecon reset /shares context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
   restorecon reset /shares/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
   

1. samba パッケージ、samba-common パッケージ、および samba-client パッケージがインストールされていることを確認します（バージョン番号は異なる場合があります）。

   ~]$ rpm -q samba samba-common samba-client
   samba-3.4.0-0.41.el6.3.i686
   samba-common-3.4.0-0.41.el6.3.i686
   samba-client-3.4.0-0.41.el6.3.i686
   

   これらのパッケージがインストールされていない場合は、root で以下のコマンドを実行してインストールします。

   ~]# yum install package-name

2. root で /etc/samba/smb.conf ファイルを編集します。このファイルの下部に以下のエントリーを追加して、Samba で /shares/ ディレクトリーを共有します。

   [shares]
   comment = Documents for Apache HTTP Server, FTP, rsync, and Samba
   path = /shares
   public = yes
   writable = no
   

3. Samba ファイルシステムをマウントするには、Samba アカウントが必要です。root で次のコマンドを実行し、Samba アカウントを作成します。ここで、username は既存の Linux ユーザーになります。たとえば、smbpasswd -a testuser は、Linux testuser ユーザーの Samba アカウントを作成します。

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.
   

   上記のコマンドを実行して、システムに存在しないアカウントのユーザー名を指定すると、Cannot locate Unix account for 'username'! error になります。
4. Samba サービスを起動します。

   ~]# systemctl start smb.service

5. 以下のコマンドを入力して、利用可能な共有の一覧を表示します。username は、手順 3 で追加した Samba アカウントです。パスワードの入力を求められたら、ステップ 3 で Samba アカウントに割り当てられたパスワードを入力します（バージョン番号が異なる場合があります）。

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   shares          Disk      Documents for Apache HTTP Server, FTP, rsync, and Samba
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------
   

6. mkdir ユーティリティーを使って新規ディレクトリーを作成します。このディレクトリーは、Samba 共有のマウント に使用されます。

   ~]# mkdir /test/

7. root で以下のコマンドを実行して、Samba 共有の共有を /test/ にマウントします。username は、手順 3 のユーザー名に置き換えます。

   ~]# mount //localhost/shares /test/ -o user=username

   ステップ 3 で設定した ユーザー名のパスワード を入力します。
8. Samba で共有されるファイルの内容を表示します。

   ~]$ cat /test/index.html
   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>
   

1. httpd パッケージがインストールされていることを確認します（バージョン番号が異なる場合があります）。

   ~]$ rpm -q httpd
   httpd-2.2.11-6.i386
   

   このパッケージがインストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   ~]# yum install httpd

2. /var/www/html/ ディレクトリーに移動します。root で以下のコマンドを実行して、/shares/ ディレクトリーへのリンク（名前付き 共有）を作成します。

   html]# ln -s /shares/ shares

3. Apache HTTP Server を起動します。

   ~]# systemctl start httpd.service

4. Web ブラウザーを使用して http://localhost/shares に移動します。/shares/index.html ファイルが表示されます。

1. index.html ファイルを削除します。

   ~]# rm -i /shares/index.html

2. root として touch ユーティリティーを使用して、/shares/ に 3 つのファイルを作成します。

   ~]# touch /shares/file{1,2,3}
   ~]# ls -Z /shares/
   -rw-r--r--  root root system_u:object_r:public_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file3
   

3. root で以下のコマンドを実行して、Apache HTTP Server のステータスを確認します。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)
   

   サーバーが停止している場合は、起動します。

   ~]# systemctl start httpd.service

4. Web ブラウザーを使用して http://localhost/shares に移動します。ディレクトリーの一覧が表示されます。
   

1. Listen オプションが httpd 用の SELinux ポリシーで設定されていないポートを一覧表示するように、root として /etc/httpd/conf/httpd.conf ファイルを編集します。以下の例では、httpd が 10.0.0.1 IP アドレスと TCP ポート 12345 をリッスンするように設定します。

   # Change this to Listen on specific IP addresses as shown below to 
   # prevent Apache from glomming onto all bound IP addresses (0.0.0.0)
   #
   #Listen 12.34.56.78:80
   Listen 10.0.0.1:12345
   

2. root ユーザーで以下のコマンドを実行して、SELinux ポリシー設定にポートを追加します。

   ~]# semanage port -a -t http_port_t -p tcp 12345

3. ポートが追加されていることを確認します。

   ~]# semanage port -l | grep -w http_port_t
   http_port_t                    tcp      12345, 80, 443, 488, 8008, 8009, 8443
   

1. samba パッケージ、samba-common パッケージ、および samba-client パッケージがインストールされていることを確認します。

   ~]$ rpm -q samba samba-common samba-client
   package samba is not installed
   package samba-common is not installed
   package samba-client is not installed
   

   これらのパッケージのいずれかがインストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   ~]# yum install package-name

2. mkdir ユーティリティーを root として使用して、Samba を介してファイルを共有する新しい最上位ディレクトリーを作成します。

   ~]# mkdir /myshare

3. touch ユーティリティーの root を使用して空のファイルを作成します。このファイルは後で、Samba 共有が正しくマウントされたことを確認するために使用されます。

   ~]# touch /myshare/file1

4. SELinux により、/etc/samba/smb.conf ファイルと Linux のパーミッションが随時設定されない限り、Samba が samba_share_t タイプのラベルが付いたファイルに読み取りおよび書き込みを行うことができます。root で以下のコマンドを入力し、ラベルの変更を file-context 設定に追加します。

   ~]# semanage fcontext -a -t samba_share_t "/myshare(/.*)?"

5. root として restorecon ユーティリティーを使用して、ラベルの変更を適用します。

   ~]# restorecon -R -v /myshare
   restorecon reset /myshare context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
   restorecon reset /myshare/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
   

6. root で /etc/samba/smb.conf を編集します。Samba を介して /myshare/ ディレクトリーを共有するには、このファイルの下部に以下を追加します。

   [myshare]
   comment = My share
   path = /myshare
   public = yes
   writable = no
   

7. Samba ファイルシステムをマウントするには、Samba アカウントが必要です。root で次のコマンドを実行し、Samba アカウントを作成します。ここで、username は既存の Linux ユーザーになります。たとえば、smbpasswd -a testuser は、Linux testuser ユーザーの Samba アカウントを作成します。

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.
   

   上記のコマンドを入力して、システムに存在しないアカウントのユーザー名を指定すると、Cannot locate Unix account for 'username'! error になります。
8. Samba サービスを起動します。

   ~]# systemctl start smb.service

9. 以下のコマンドを入力して、利用可能な共有の一覧を表示します。username は、手順 7 に追加された Samba アカウントに置き換えます。パスワードの入力を求められたら、ステップ 7 で Samba アカウントに割り当てられたパスワードを入力します（バージョン番号が異なる場合があります）。

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   myshare         Disk      My share
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------
   

10. mkdir ユーティリティーを root として使用して、新しいディレクトリーを作成します。このディレクトリーは、my share Samba 共有をマウントするために使用されます。

    ~]# mkdir /test/

11. root で以下のコマンドを実行して、my share Samba 共有を /test/ にマウントします。username は、手順 7 のユーザー名に置き換えます。

    ~]# mount //localhost/myshare /test/ -o user=username

    ステップ 7 で設定した ユーザー名のパスワード を入力します。
12. 以下のコマンドを入力して、手順 3 で作成した file1 ファイルを表示します。

    ~]$ ls /test/
    file1
    

1. root ユーザーとして、/var/www/html/file1.html ファイルを作成します。このファイルに以下の内容をコピーして貼り付けます。

   <html>
   <h2>File being shared through the Apache HTTP Server and Samba.</h2>
   </html>
   

2. 以下のコマンドを実行して、file1.html の SELinux コンテキストを表示します。

   ~]$ ls -Z /var/www/html/file1.html
   -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1.html
   

   このファイルには、httpd_sys_content_t のラベルが付けられます。デフォルトでは、Apache HTTP Server はこのタイプにアクセスできますが、Samba はアクセスできません。
3. Apache HTTP Server を起動します。

   ~]# systemctl start httpd.service

4. ユーザーが書き込みアクセスを持つディレクトリーに移動し、以下のコマンドを入力します。デフォルト設定が変更されない限り、このコマンドは成功します。

   ~]$ wget http://localhost/file1.html
   Resolving localhost... 127.0.0.1
   Connecting to localhost|127.0.0.1|:80... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 84 [text/html]
   Saving to: `file1.html.1'
   
   100%[=======================>] 84          --.-K/s   in 0s      
   
   `file1.html.1' saved [84/84]
   

5. root で /etc/samba/smb.conf を編集します。以下をこのファイルの下部に追加して、Samba で /var/www/html/ ディレクトリーを共有します。

   [website]
   comment = Sharing a website
   path = /var/www/html/
   public = no
   writable = no
   

6. /var/www/html/ ディレクトリーには、httpd_sys_content_t タイプのラベルが付けられます。デフォルトでは、Samba は、Linux パーミッションが許可していても、このタイプのラベルが付いたファイルおよびディレクトリーにはアクセスできません。Samba のアクセスを許可するには、samba _export_all_ro のブール値を有効にします。

   ~]# setsebool -P samba_export_all_ro on

   再起動後も変更が 維持しない場合は、-P オプションを使用しないでください。samba_export_all_ro ブール値を有効にすると、Samba がすべてのタイプにアクセスできるようにします。
7. Samba サービスを起動します。

   ~]# systemctl start smb.service

1. NFS サーバーを実行している場合は、停止します。

   [nfs-srv]# systemctl stop nfs

   サーバーが停止していることを確認します。

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: inactive (dead)
   

2. /etc/sysconfig/nfs ファイルを編集し、RPCNFSDARGS フラグを "-V 4.2" に設定します。

   # Optional arguments passed to rpc.nfsd. See rpc.nfsd(8)
   RPCNFSDARGS="-V 4.2"

3. サーバーを再度起動し、サーバーが稼働していることを確認します。出力には以下の情報が含まれ、タイムスタンプのみが異なります。

   [nfs-srv]# systemctl start nfs

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: active (exited) since Wed 2013-08-28 14:07:11 CEST; 4s ago
   

4. クライアントで、NFS サーバーをマウントします。

   [nfs-client]# mount -o v4.2 server:mntpoint localmountpoint

5. すべての SELinux ラベルがサーバーからクライアントに正常に渡されるようになりました。

   [nfs-srv]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file
   [nfs-client]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file

1. この例では、cv パッケージおよび xinetd パッケージが必要です。パッケージがインストールされていることを確認します。

   [cvs-srv]$ rpm -q cvs xinetd
   package cvs is not installed
   package xinetd is not installed
   

   インストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   [cvs-srv]# yum install cvs xinetd

2. root で以下のコマンドを入力し、CVS という名前のグループ を作成します。

   [cvs-srv]# groupadd CVS

   これは、system-config-users ユーティリティーを使用して行うこともできます。
3. ユーザー名 cvsuser でユーザーを作成し、このユーザーを CVS グループのメンバーにします。これは、system-config-users を使用して実行できます。
4. /etc/services ファイルを編集し、CVS サーバーに以下のようなエントリーのコメントを解除していることを確認します。

   cvspserver	2401/tcp			# CVS client/server operations
   cvspserver	2401/udp			# CVS client/server operations
   

5. ファイルシステムのルート領域に CVS リポジトリーを作成します。SELinux を使用する場合は、他のサブディレクトリーに影響を与えずに再帰的なラベルを指定できるように root ファイルシステム内にリポジトリーを指定することが推奨されます。たとえば、root で、リポジトリー を格納する /cvs/ ディレクトリーを作成します。

   [root@cvs-srv]# mkdir /cvs

6. 全ユーザーに対して /cvs/ ディレクトリーへの完全なパーミッションを付与します。

   [root@cvs-srv]# chmod -R 777 /cvs

   警告

   これは唯一の例であり、これらのパーミッションは実稼働システムでは使用しないでください。
7. /etc/xinetd.d/cvs ファイルを編集し、CVS セクションのコメントが解除され、/ cvs/ ディレクトリーを使用するように 設定されていることを確認します。ファイルは以下のようになるはずです。

   service cvspserver
   {
   	disable	= no
   	port			= 2401
   	socket_type		= stream
   	protocol		= tcp
   	wait			= no
   	user			= root
   	passenv			= PATH
   	server			= /usr/bin/cvs
   	env			= HOME=/cvs
   	server_args		= -f --allow-root=/cvs pserver
   #	bind			= 127.0.0.1
   

8. xinetd デーモンを起動します。

   [cvs-srv]# systemctl start xinetd.service

9. system-config-firewall ユーティリティーを使用して、ポート 2401 で TCP 経由の受信接続を許可するルールを追加します。
10. クライアント側で、cv suser ユーザーとして以下のコマンドを入力します。

    [cvsuser@cvs-client]$ cvs -d /cvs init

11. この時点で、CVS は設定されていますが、SELinux はログインおよびファイルのアクセスを拒否します。これを行うには、cv s-client に $CVSROOT 変数を設定し、リモートでログインしてみてください。次の手順は、cv s-client で実行する必要があります。

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    cvs [login aborted]: unrecognized auth response from 192.168.100.1: cvs pserver: cannot open /cvs/CVSROOT/config: Permission denied
    

    SELinux のアクセスがブロックされています。このアクセスを許可する SELinux を取得するには、cv s-srv で以下の手順を実行 する必要があります。
12. /cvs/ ディレクトリー内の既存データおよび新しいデータを再帰的にラベル付けするために、/ cvs/ ディレクトリーのコンテキストを root として変更し、それに cvs_data_t タイプを指定します。

    [root@cvs-srv]# semanage fcontext -a -t cvs_data_t '/cvs(/.*)?'
    [root@cvs-srv]# restorecon -R -v /cvs

13. クライアント cvs-client がログインでき、このリポジトリー内のすべての CVS リソースにアクセスできるようになりました。

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    [cvsuser@cvs-client]$
    

1. squid がインストールされていることを確認します。

   ~]$ rpm -q squid
   package squid is not installed
   

   このパッケージがインストールされていない場合は、root で yum ユーティリティーを使用してインストールします。

   ~]# yum install squid

2. 主な設定ファイル /etc/squid/squid.conf を編集し、cache_dir ディレクティブのコメントを解除して、以下のようになります。

   cache_dir ufs /var/spool/squid 100 16 256
   

   この行では、この例で使用する cache_dir ディレクティブのデフォルト設定を指定します。Squid ストレージフォーマット(ufs)、キャッシュが存在するシステムのディレクトリー(/var/spool/squid)で構成されます。これは、キャッシュ(100)に使用するメガバイトのディスク容量(100)、最後に、最初のレベルのキャッシュディレクトリーと 2 次レベルディレクトリー（それぞれ16 および 256 ）のデフォルト設定を指定します。
3. 同じ設定ファイルで、http _access allow localnet ディレクティブのコメントを解除します。これにより、Red Hat Enterprise Linux で Squid のデフォルトインストールに自動的に設定された localnet ACL からのトラフィックが可能になります。この簡単な例では、既存の RFC1918 ネットワーク上のクライアントマシンにプロキシー経由でアクセスすることができます。これは、この簡単な例では十分です。
4. 同じ設定ファイルで、visible_hostname ディレクティブのコメントを解除し、マシンのホスト名に設定されていることを確認します。この値は、ホストの完全修飾ドメイン名(FQDN)である必要があります。

   visible_hostname squid.example.com
   

5. root で以下のコマンドを実行して squid デーモンを起動します。squid が最初に開始した時点で、このコマンドは cache_dir ディレクティブで指定されたキャッシュディレクトリーを初期化し、デーモンを起動します。

   ~]# systemctl start squid.service

   squid が正常に起動することを確認します。出力には以下の情報が含まれ、タイムスタンプのみが異なります。

   ~]# systemctl status squid.service
   squid.service - Squid caching proxy
      Loaded: loaded (/usr/lib/systemd/system/squid.service; disabled)
      Active: active (running) since Thu 2014-02-06 15:00:24 CET; 6s ago
   

6. squid _var_run_t の値で示されているように、squid プロセス ID(PID)が制限のあるサービスとして開始されていることを確認します。

   ~]# ls -lZ /var/run/squid.pid 
   -rw-r--r--. root squid unconfined_u:object_r:squid_var_run_t:s0 /var/run/squid.pid
   

7. この時点で、先に設定された localnet ACL に接続されたクライアントマシンは、このホストの内部インターフェースをプロキシーとして使用することができます。これは、すべての共通の Web ブラウザーまたはシステム全体の設定で設定できます。Squid は、ターゲットマシン(TCP 3128)のデフォルトポートをリッスンしていますが、ターゲットマシンは共通ポートを介したインターネット上の他のサービスへの送信接続のみを許可します。これは、SELinux 自体が定義するポリシーです。SELinux は、次の手順にあるように、標準以外のポートへのアクセスを拒否します。
8. クライアントが、TCP ポート 10000 でリッスンする Web サイトなど、Squid プロキシーを介して標準以外のポートを使用して要求を行うと、以下のような拒否がログに記録されます。

   SELinux is preventing the squid daemon from connecting to network port 10000
   

9. このアクセスを許可するには、squid _connect_any ブール値をデフォルトで無効にしているため、変更する必要があります。

   ~]# setsebool -P squid_connect_any on

   注記

   setsebool の変更が再起動後も維持する必要がない場合は、- P オプションを使用しないでください。
10. Squid は、クライアントの代わりにポートへの接続を開始できるようになるため、クライアントはインターネット上の非標準ポートにアクセスできるようになりました。

1. mysql のデフォルトデータベースの場所の SELinux コンテキストを表示します。

   ~]# ls -lZ /var/lib/mysql
   drwx------. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql
   

   これは、データベースファイルの場所のデフォルトコンテキスト要素である mysqld_db_t を表示します。このコンテキストは、正しく機能するためにこの例で使用される新しいデータベースの場所に手動で適用する必要があります。
2. 次のコマンドを実行して、mysqld root パスワードを入力して、利用可能なデータベースを表示します。

   ~]# mysqlshow -u root -p
   Enter password: *******
   +--------------------+
   |     Databases      |
   +--------------------+
   | information_schema |
   | mysql              |
   | test               |
   | wikidb             |
   +--------------------+
   

3. mysqld デーモンを停止します。

   ~]# systemctl stop mariadb.service

4. データベースの新しい場所に新しいディレクトリーを作成します。以下の例では、/mysql/ が使用されます。

   ~]# mkdir -p /mysql

5. データベースファイルを以前の場所から新しい場所にコピーします。

   ~]# cp -R /var/lib/mysql/* /mysql/

6. この場所の所有権を変更して、mysql ユーザーおよびグループがアクセスできるようにします。これにより、SELinux が引き続き監視する従来の Unix パーミッションが設定されます。

   ~]# chown -R mysql:mysql /mysql

7. 以下のコマンドを実行して、新しいディレクトリーの初期コンテキストを表示します。

   ~]# ls -lZ /mysql
   drwxr-xr-x. mysql mysql unconfined_u:object_r:usr_t:s0   mysql
   

   新たに作成したこのディレクトリーのコンテキスト usr_t は、現在、MariaDB データベースファイルの場所として SELinux に適しているわけではありません。コンテキストを変更すると、MariaDB がこのエリアで適切に機能できるようになります。
8. テキストエディターでメインの MariaDB 設定ファイル /etc/my.cnf を開き、新しい場所を参照するように datadir オプションを変更します。以下の例では、入力すべき値は /mysql です。

   [mysqld]
   datadir=/mysql
   

   このファイルを保存して終了します。
9. mysqld を起動します。サービスが起動に失敗し、拒否メッセージが /var/log/messages ファイルに記録されます。

   ~]# systemctl start mariadb.service
   Job for mariadb.service failed. See 'systemctl status postgresql.service' and 'journalctl -xn' for details.
   

   ただし、audit デーモンが setroubleshoot サービスとともに実行されている場合は、代わりに拒否が /var/log/audit/audit.log ファイルに記録されます。

   SELinux is preventing /usr/libexec/mysqld "write" access on /mysql. For complete SELinux messages. run sealert -l b3f01aff-7fa6-4ebe-ad46-abaef6f8ad71
   

   この拒否の理由は、/mysql/ が MariaDB データファイルに対して正しくラベル付けされていないことです。SELinux は、MariaDB が、usr_t とラベルが付いたコンテンツにアクセスできなくなります。この問題を解決するには、以下の手順を実行します。
10. 以下のコマンドを入力して、/mysql/ のコンテキストマッピングを追加します。semanage ユーティリティーは、デフォルトでインストールされていないことに注意してください。システムに見つからない場合は、policycoreutils-python パッケージをインストールします。

    ~]# semanage fcontext -a -t mysqld_db_t "/mysql(/.*)?"

11. このマッピングは、/etc/selinux/targeted/contexts/files/file_contexts.local ファイルに書き込まれます。

    ~]# grep -i mysql /etc/selinux/targeted/contexts/files/file_contexts.local
    
    /mysql(/.*)?    system_u:object_r:mysqld_db_t:s0
    

12. これで restorecon ユーティリティーを使用して、稼働中のシステムにこのコンテキストマッピングを適用します。

    ~]# restorecon -R -v /mysql

13. /mysql/ の場所には、MariaDB の正しいコンテキストでラベルが付けられ、mysqld が起動します。

    ~]# systemctl start mariadb.service

14. コンテキストが /mysql/ に対して変更されたことを確認します。

    ~]$ ls -lZ /mysql
    drwxr-xr-x. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql
    

15. 場所が変更され、ラベル付けされ、mysqld が正常に開始されました。この時点では、通常の操作を確認するには、実行中のサービスをすべてテストする必要があります。