手順3.5 sudo 遷移の設定

1. 新しい SELinux ユーザーを作成し、このユーザーにデフォルトの SELinux ロールと、補助制限のある管理者ロールを指定します。

   ~]# semanage user -a -r s0-s0:c0.c1023 -R "default_role_r administrator_r" SELinux_user_u

2. デフォルトの SElinux ポリシーコンテキストファイルを設定します。たとえば、SELinux ユーザー staff_u と同じ SELinux ルールを設定するには、staff_u コンテキストファイルをコピーします。

   ~]# cp /etc/selinux/targeted/contexts/users/staff_u /etc/selinux/targeted/contexts/users/SELinux_user_u

3. 新たに作成した SELinux ユーザーを既存の Linux ユーザーにマッピングします。

   semanage login -a -s SELinux_user_u -rs0:c0.c1023 linux_user

4. /etc/sudoers.d/ ディレクトリーに Linux ユーザーと同じ名前で、新しい設定ファイルを作成し、以下の文字列を追加します。

   ~]# echo "linux_user ALL=(ALL) TYPE=administrator_t ROLE=administrator_r /bin/sh " > /etc/sudoers.d/linux_user

5. restorecon ユーティリティーを使用して linux_user のホームディレクトリーにラベルを付けます。

   ~]# restorecon -FR -v /home/linux_user

6. 新たに作成した Linux ユーザーとしてシステムにログインすると、デフォルトの SELinux ロールにラベルが付けられます。

   ~]$ id -Z
   SELinux_user_u:default_role_r:SELinux_user_t:s0:c0.c1023

   sudo の実行後、ユーザーの SELinux コンテキストは、/etc/sudoers.d/linux_user で指定した補助 SELinux ロールに変更されます。sudo で使用する -i オプションにより、対話式シェルが実行されました。

   ~]$ sudo -i
   ~]# id -Z
   SELinux_user_u:administrator_r:administrator_t:s0-s0:c0.c1023

   最初のステップで指定されている例にある SELinux_user_u ユーザーの場合、以下のような出力になります。

   ~]$ id -Z
   confined_u:staff_r:staff_t:s0:c0.c1023
   ~]$ sudo -i
   ~]# id -Z
   confined_u:webadm_r:webadm_t:s0:c0.c1023

   bellow の例では、デフォルトの割り当てられた staff_r で、新しい SELinux ユーザー limited_u を staff_r から webadm_ r に変更するように sudo を設定しています。

   ~]# semanage user -a -r s0-s0:c0.c1023 -R "staff_r webadm_r" confined_u
   ~]# cp /etc/selinux/targeted/contexts/users/staff_u /etc/selinux/targeted/contexts/users/confined_u
   ~]# semanage login -a -s confined_u -rs0:c0.c1023 linux_user
   ~]# restorecon -FR -v /home/linux_user
   ~]# echo "linux_user ALL=(ALL) TYPE=webadm_t ROLE=webadm_r /bin/sh " > /etc/sudoers.d/linux_user

   新たに作成した Linux ユーザーとしてシステムにログインすると、デフォルトの SELinux ロールにラベルが付けられます。

   ~]$ id -Z
   confined_u:staff_r:staff_t:s0:c0.c1023
   ~]$ sudo -i
   ~]# id -Z
   confined_u:webadm_r:webadm_t:s0:c0.c1023

1. SELinux を Permissive モードで有効にします。「Permissive モード」。
2. システムを再起動します。
3. SELinux 拒否メッセージを確認します。「探索と表示」。
4. 拒否がない場合は、Enforcing モードに切り替えます。「強制モード」。

手順4.4 SELinux の無効化

1. /etc/selinux/config ファイルに SELINUX=disabled を設定します。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=disabled
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=targeted

2. システムを再起動します。再起動したら、getenforce コマンドが Disabled を返すことを確認します。

   ~]$ getenforce
   Disabled

手順4.5 ブール値の設定

1. デフォルトでは、httpd_can_network_connect_db のブール値がオフであるため、Apache HTTP Server スクリプトとモジュールがデータベースサーバーに接続できなくなります。

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> off
   

2. 一時的に Apache HTTP Server スクリプトおよびモジュールを有効にしてデータベースサーバーに接続する場合は、root で以下のコマンドを実行します。

   ~]# setsebool httpd_can_network_connect_db on

3. getsebool ユーティリティーを使用してブール値が有効であることを確認します。

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> on
   

   これにより、Apache HTTP Server スクリプトおよびモジュールがデータベースサーバーに接続できます。
4. この変更は、システムを再起動すると元に戻ります。再起動後も持続させる場合は、root で setsebool -P boolean-name on コマンドを実行します。^[3]

   ~]# setsebool -P httpd_can_network_connect_db on

手順4.6 ファイルまたはディレクトリーのタイプの変更

1. ホームディレクトリーに移動します。
2. 新しいファイルを作成し、その SELinux コンテキストを表示します。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

   この例では、file1 の SELinux コンテキストには、SELinux unconfined_u user、object_r ロール、user_home_t タイプ、s0 レベルが含まれます。SELinux 2章SELinux コンテキスト。
3. 以下のコマンドを入力して、タイプを samba_share_t に変更します。-t オプションはタイプのみを変更します。次に、変更を表示します。

   ~]$ chcon -t samba_share_t file1

   ~]$ ls -Z file1 
   -rw-rw-r--  user1 group1 unconfined_u:object_r:samba_share_t:s0 file1
   

4. 次のコマンドを使用して、file1 ファイルの SELinux コンテキストを復元します。-v オプションを使用して変更を確認します。

   ~]$ restorecon -v file1
   restorecon reset file1 context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:user_home_t:s0
   

   この例では、以前の種別 samba_share_t は正しい user_home_t タイプに復元されています。ターゲットポリシー（Red Hat Enterprise Linux のデフォルトの SELinux ポリシー）を使用する場合、restorecon コマンドは /etc/selinux/targeted/contexts/files/ ディレクトリーのファイルを読み込み、どの SELinux コンテキストファイルがあるかを確認します。

手順4.7 ディレクトリーおよびそのコンテンツタイプの変更

1. root ユーザーとして、新しい web/ ディレクトリーを作成し、このディレクトリーに空の 3つのファイル（file1、file2 、file3） を作成します。その web/ ディレクトリーとそのファイルには、default_t タイプのラベルが付けられます。

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

2. root で次のコマンドを実行して、Web/ ディレクトリーのタイプ（およびそのコンテンツ）を httpd_sys_content_t に変更します。

   ~]# chcon -R -t httpd_sys_content_t /web/

   ~]# ls -dZ /web/
   drwxr-xr-x  root root unconfined_u:object_r:httpd_sys_content_t:s0 /web/
   

   ~]# ls -lZ /web/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

3. デフォルトの SELinux コンテキストを復元するには、root で restorecon ユーティリティーを使用します。

   ~]# restorecon -R -v /web/
   restorecon reset /web context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   

手順4.8 ファイルのタイプまたはディレクトリータイプの変更

1. root ユーザーとして、/etc ディレクトリーに新しいファイルを作成します。デフォルトでは、/etc に新たに作成されたファイルには etc_t タイプのラベルが付けられます。

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1
   

   ディレクトリーに関する情報を一覧表示するには、次のコマンドを使用します。

   ~]$ ls -dZ directory_name

2. root で次のコマンドを実行して、file1 タイプを samba_share_t に変更します。-a オプションは新しいレコードを追加し、-t オプションはタイプ(samba_share_t)を定義します。このコマンドを実行すると、タイプが直接変更されません。file1 には etc_t タイプのラベルが付けられています。

   ~]# semanage fcontext -a -t samba_share_t /etc/file1

   ~]# ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1
   

   ~]$ semanage fcontext -C -l
   /etc/file1    unconfined_u:object_r:samba_share_t:s0
   

3. root で restorecon ユーティリティーを使用してタイプを変更します。semanage は /etc/file1 の file_contexts.local にエントリーを追加したため、restorecon はタイプを samba_share_t に変更します。

   ~]# restorecon -v /etc/file1
   restorecon reset /etc/file1 context unconfined_u:object_r:etc_t:s0->system_u:object_r:samba_share_t:s0
   

手順4.9 ディレクトリーおよびそのコンテンツタイプの変更

1. root ユーザーとして、新しい web/ ディレクトリーを作成し、このディレクトリーに空の 3つのファイル（file1、file2 、file3） を作成します。その web/ ディレクトリーとそのファイルには、default_t タイプのラベルが付けられます。

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

2. root で次のコマンドを実行して、Web/ ディレクトリーとそのファイルの種類を httpd_sys_content_t に変更します。-a オプションは新しいレコードを追加し、-t オプションはタイプ(httpd_sys_content_t)を定義します。"/web(/.*)?" 正規表現により、semanage は変更を Web/ とファイルに適用します。このコマンドを実行すると、タイプを直接変更しません。web/ とファイルに含まれるファイルは、引き続き default_t タイプでラベル付けされます。

   ~]# semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"

   ~]$ ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]$ ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

   semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" コマンドは、以下のエントリーを /etc/selinux/targeted/contexts/files/file_contexts.local に追加します。

   /web(/.*)?    system_u:object_r:httpd_sys_content_t:s0
   

3. root で restorecon ユーティリティーを使用して、Web/ のタイプとそのすべてのファイルを変更します。-R は recursive の場合で、web/ 下のすべてのファイルおよびディレクトリーに httpd_sys_content_t タイプのラベルが付けられることを意味します。semanage が /web(/.*)? の file.contexts.local にエントリーを追加したため、restorecon はタイプを httpd_sys_content_t に変更します。

   ~]# restorecon -R -v /web
   restorecon reset /web context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   

   デフォルトでは、新しく作成されたファイルおよびディレクトリーは、その親ディレクトリーの SELinux タイプを継承することに注意してください。

手順4.10 追加されたコンテキストの削除

~]# semanage fcontext -d "/web(/.*)?"

1. コンテキストを削除するには、root で以下のコマンドを入力します。ここで、file-name | directory-name|directory-name は file_contexts.local の最初の部分になります。

   ~]# semanage fcontext -d file-name|directory-name

   以下は、file_contexts.local のコンテキストの例です。

   /test    system_u:object_r:httpd_sys_content_t:s0
   

   最初の部分は test になります。restorecon の実行後に test/ ディレクトリーに httpd_sys_content_t のラベルが付けられないようにするには、root で次のコマンドを入力して、file_contexts.local からコンテキストを削除します。

   ~]# semanage fcontext -d /test

2. root で restorecon ユーティリティーを使用して、デフォルトの SELinux コンテキストを復元します。

手順4.11 SELinux コンテキストを事前化しないコピー

1. ユーザーのホームディレクトリーにファイルを作成します。ファイルには、user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. /var/www/html/ ディレクトリーには、以下のコマンドで httpd_sys_content_t タイプのラベルが付けられます。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

3. file1 が /var/www/html/ にコピーされると、httpd_sys_content_t タイプを継承します。

   ~]# cp file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1
   

手順4.12 コピー時の SELinux コンテキストの保持

1. ユーザーのホームディレクトリーにファイルを作成します。ファイルには、user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. /var/www/html/ ディレクトリーには、以下のコマンドで httpd_sys_content_t タイプのラベルが付けられます。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

3. --preserve=context オプションを使用すると、コピー操作時に SELinux コンテキストが保持されます。以下のように、ファイルが /var/www/html/ にコピーされると、file1 の user_home_t タイプが保持されています。

   ~]# cp --preserve=context file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:user_home_t:s0 /var/www/html/file1
   

手順4.13 コンテキストのコピーおよび変更

1. ユーザーのホームディレクトリーにファイルを作成します。ファイルには、user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. --context オプションを使用して SELinux コンテキストを定義します。

   ~]$ cp --context=system_u:object_r:samba_share_t:s0 file1 file2

3. --context がない場合、file2 には unconfined_u:object_r:user_home_t コンテキストでラベルが付けられます。

   ~]$ ls -Z file1 file2
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   -rw-rw-r--  user1 group1 system_u:object_r:samba_share_t:s0 file2
   

手順4.14 既存ファイルへのファイルのコピー

1. root で、/etc ディレクトリーに新しいファイル file1 を作成します。以下に示すように、ファイルには etc_t タイプのラベルが付けられます。

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1
   

2. /tmp ディレクトリーに、別のファイル file2 を作成します。以下のように、ファイルには user_tmp_t タイプのラベルが付けられます。

   ~]$ touch /tmp/file2

   ~$ ls -Z /tmp/file2
   -rw-r--r--  root root unconfined_u:object_r:user_tmp_t:s0 /tmp/file2
   

3. file2 で file1 を上書きします：

   ~]# cp /tmp/file2 /etc/file1

4. コピー後、次のコマンドは、 /etc/file1 に置き換えられた /tmp/file2 からの user_tmp_t タイプではなく、etc_t タイプでラベル付けされた file1 を表示します。

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1
   

手順4.15 ファイルおよびディレクトリーの移動

1. ホームディレクトリーに移動して、そのファイルにファイルを作成します。ファイルには、user_home_t タイプのラベルが付けられます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. 以下のコマンドを実行して、/var/www/html/ ディレクトリーの SELinux コンテキストを表示します。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

   デフォルトでは、/var/www/html/ には httpd_sys_content_t タイプのラベルが付けられます。/var/www/html/ で作成されたファイルおよびディレクトリーは、このタイプを継承します。
3. root として file1 を /var/www/html/ に移動します。このファイルは移行されているため、現在の user_home_t タイプを維持します。

   ~]# mv file1 /var/www/html/

   ~]# ls -Z /var/www/html/file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 /var/www/html/file1
   

手順4.16 matchpathconでデフォルトの SELinux Conxtext の確認

1. root ユーザーとして、/var/www/html/ ディレクトリーに 3つのファイル （file1、file 2、file3）を作成します。これらのファイルは、/var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

2. root で、file1 タイプを samba_share_t に変更します。Apache HTTP Server は、samba_share_t タイプのラベルが付けられたファイルまたはディレクトリーを読み取ることができないことに注意してください。

   ~]# chcon -t samba_share_t /var/www/html/file1

3. matchpathcon -V オプションは、現在の SELinux コンテキストを SELinux ポリシーのデフォルトコンテキストを正しく比較します。次のコマンドを実行して、/var/www/html/ ディレクトリー内の全ファイルを確認します。

   ~]$ matchpathcon -V /var/www/html/*
   /var/www/html/file1 has context unconfined_u:object_r:samba_share_t:s0, should be system_u:object_r:httpd_sys_content_t:s0
   /var/www/html/file2 verified.
   /var/www/html/file3 verified.
   

手順4.17 tar アーカイブの作成

1. /var/www/html/ ディレクトリーに移動し、SELinux コンテキストを表示します。

   ~]$ cd /var/www/html/

   html]$ ls -dZ /var/www/html/
   drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 .

2. root として、/var/www/html/ に 3つのファイル（file1 、file2、file3）を作成します。これらのファイルは、/var/www/html/ から httpd_sys_content_t タイプを継承します。

   html]# touch file{1,2,3}

   html]$ ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

3. root で以下のコマンドを入力し、test.tar という名前の tar アーカイブを作成します。--selinux を使用して SELinux コンテキストを保持します。

   html]# tar --selinux -cf test.tar file{1,2,3}

4. root で test/ という名前の新規ディレクトリーを作成して、すべてのユーザーがそのディレクトリーに完全にアクセスできるようにします。

   ~]# mkdir /test

   ~]# chmod 777 /test/

5. test.tar ファイルを test/ にコピーします。

   ~]$ cp /var/www/html/test.tar /test/

6. test/ ディレクトリーに移動します。このディレクトリーにしたら、以下のコマンドを入力して tar アーカイブを展開します。--selinux オプションを再度指定すると、SELinux コンテキストが default_t に変更されます。

   ~]$ cd /test/

   test]$ tar --selinux -xvf test.tar

7. SELinux コンテキストを表示します。httpd_sys_content_t タイプは default_t に変更ではなく、保持されるため、発生した --selinux は使用されていません。

   test]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.tar
   

8. test/ ディレクトリーが必要なくなった場合は、root で以下のコマンドを実行して、そのディレクトリーとそのすべてのファイルを削除します。

   ~]# rm -ri /test/

手順4.18 スターアーカイブの作成

1. root として、/var/www/html/ に 3つのファイル（file1 、file2、file3）を作成します。これらのファイルは、/var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

2. /var/www/html/ ディレクトリーに移動します。このディレクトリーに一度 root で以下のコマンドを実行して、test.star という名前のスターアーカイブを作成します。

   ~]$ cd /var/www/html

   html]# star -xattr -H=exustar -c -f=test.star file{1,2,3}
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).
   

3. root で test/ という名前の新規ディレクトリーを作成して、すべてのユーザーがそのディレクトリーに完全にアクセスできるようにします。

   ~]# mkdir /test

   ~]# chmod 777 /test/

4. 以下のコマンドを入力して test.star ファイルを test / にコピーします。

   ~]$ cp /var/www/html/test.star /test/

5. test/ に変更します。このディレクトリーにしたら、以下のコマンドを入力して星のアーカイブを展開します。

   ~]$ cd /test/

   test]$ star -x -f=test.star 
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).
   

6. SELinux コンテキストを表示します。httpd_sys_content_t タイプは default_t に変更するのではなく、保持されています。これは、発生していた -xattr -H=exustar オプションが使用されていませんでした。

   ~]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.star
   

7. test/ ディレクトリーが必要なくなった場合は、root で以下のコマンドを実行して、そのディレクトリーとそのすべてのファイルを削除します。

   ~]# rm -ri /test/

8. 星がなくなったら、root でパッケージを削除します。

   ~]# yum remove star

手順4.19 SELinux MLS ポリシーの有効化

1. selinux-policy-mls パッケージをインストールします。

   ~]# yum install selinux-policy-mls

2. MLS ポリシーを有効にする前に、ファイルシステムの各ファイルに MLS ラベルでラベルを付ける必要があります。ファイルシステムがラベルを変更すると、制限のあるドメインがアクセスが拒否される可能性があります。これにより、システムが正常に起動しなくなる可能性があります。これが発生しないようにするには、/etc/selinux/config ファイルで SELINUX=permissive を設定します。また、SELINUXTYPE=mls を設定して MLS ポリシーも有効にします。設定ファイルは以下のようになります。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=permissive
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

3. SELinux が Permissive モードで実行されていることを確認します。

   ~]# setenforce 0

   ~]$ getenforce
   Permissive
   

4. fixfiles スクリプトを使用して、-F オプションを含む /.autorelabel ファイルを作成し、次回の再起動時にファイルに再ラベル付けされるようにします。

   ~]# fixfiles -F onboot

5. システムを再起動します。次回の起動時に、すべてのファイルシステムのラベルが MLS ポリシーに従ってラベル付けされます。ラベルプロセスでは、すべてのファイルに適切な SELinux コンテキストがラベル付けされます。

   *** Warning -- SELinux mls policy relabel is required.
   *** Relabeling could take a very long time, depending on file
   *** system size and speed of hard drives.
   ***********
   

   下線の * （リスクなし）の各文字は、ラベル付けされた 1000 個のファイルを表します。上記の例では、* の文字がラベル付けされた 11000 個のファイルを示しています。すべてのファイルにラベルを付ける時間は、システムのファイル数やハードディスクドライブの速度によって異なります。最新のシステムでは、この処理には 10 分ほどかかります。ラベリングプロセスが完了すると、システムが自動的に再起動します。
6. Permissive モードでは、SELinux ポリシーは強制されませんが、Enforcing モードで実行している場合は拒否が拒否されたアクションに対して記録されます。Enforcing モードに変更を加える前に、root で以下のコマンドを実行して、最後に起動した時に SELinux がアクションを拒否しないことを確認します。最後の起動時に SELinux がアクションを拒否しなかった場合、このコマンドは出力を返しません。起動中に 11章トラブルシューティング が拒否されたかどうかをトラブルシューティングする場合は、を参照してください。

   ~]# grep "SELinux is preventing" /var/log/messages

7. /var/log/messages ファイルに拒否メッセージがない場合や、既存のすべての拒否が解決された場合は、/etc/selinux/config ファイルで SELINUX=enforcing を設定します。

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=enforcing
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

8. システムを再起動して、SELinux が Enforcing モードで実行されていることを確認します。

   ~]$ getenforce
   Enforcing
   

   また、MLS ポリシーが有効にされています。

   ~]# sestatus |grep mls
   Policy from config file:        mls
   

手順4.20 特定の MLS 範囲を使用したユーザーの作成

1. useradd コマンドを使用して新しい Linux ユーザーを追加し、新しい Linux ユーザーを既存の SELinux ユーザー（この場合は staff_u）にマッピングします。

   ~]# useradd -Z staff_u john

2. 新たに作成した Linux ユーザーにパスワードを割り当てます。

   prompt~]# passwd john

3. root で以下のコマンドを実行して、SELinux と Linux ユーザー間のマッピングを表示します。出力は以下のようになります。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s0-s15:c0.c1023      *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

4. ユーザー john の特定の範囲を定義します。

   ~]# semanage login --modify --range s2:c100 john

5. SELinux と Linux ユーザー間のマッピングを再度表示します。ユーザー john には、特定の MLS 範囲が定義されていることに注意してください。

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s2:c100              *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

6. 必要に応じて john のホームディレクトリーのラベルを修正するには、以下のコマンドを入力します。

   ~]# chcon -R -l s2:c100 /home/john

手順4.21 ポリンチブなディレクトリーの有効化

1. /etc/security/namespace.conf ファイルの最後の 3 行のコメントを解除して、/tmp、/var/tmp/、およびユーザーのホームディレクトリーのインスタンス化を有効にします。

   ~]$ tail -n 3 /etc/security/namespace.conf
   /tmp     /tmp-inst/            level      root,adm
   /var/tmp /var/tmp/tmp-inst/    level      root,adm
   $HOME    $HOME/$USER.inst/     level
   

2. /etc/pam.d/login ファイルで pam_namespace.so モジュールがセッション用に設定されていることを確認します。

   ~]$ grep namespace /etc/pam.d/login
   session    required     pam_namespace.so
   

3. システムを再起動します。

1. 拒否メッセージと関連のシステムコールが /var/log/audit/audit.log ファイルに記録されます。

   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   
   type=SYSCALL msg=audit(1226270358.848:238): arch=40000003 syscall=39 success=no exit=-13 a0=39a2bf a1=3ff a2=3a0354 a3=94703c8 items=0 ppid=13344 pid=13349 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="certwatch" exe="/usr/bin/certwatch" subj=system_u:system_r:certwatch_t:s0 key=(null)
   

   この例では、certwatch は、var_t タイプのディレクトリーへの書き込みアクセスを拒否していました。「Sealert メッセージ」。ラベルの変更またはブール値でアクセスが許可されない場合は、audit2allow を使用してローカルポリシーモジュールを作成します。
2. 以下のコマンドを入力し、アクセスが拒否された理由について人間が判読できる説明を生成します。audit2allow ユーティリティーは、/var/log/audit/audit.log を読み取るため、root ユーザーで実行する必要があります。

   ~]# audit2allow -w -a
   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   	Was caused by:
   		Missing type enforcement (TE) allow rule.
   
   	You can use audit2allow to generate a loadable module to allow this access.
   

   -a コマンドラインオプションにより、すべての監査ログが読み込まれます。-w オプションは、人間が判読できる説明を生成します。前述のように、Type Enforcement ルールがないためにアクセスが拒否されました。
3. 以下のコマンドを入力して、拒否されたアクセスを許可する Type Enforcement ルールを表示します。

   ~]# audit2allow -a
   
   
   #============= certwatch_t ==============
   allow certwatch_t var_t:dir write;
   

   重要

   タイプの適用ルールは不要です。通常、SELinux ポリシーのバグにより、Red Hat Bugzilla に報告してください。Red Hat Enterprise Linux の場合は、Red Hat Enterprise Linux 製品に対してバグを作成し、selinux-policy コンポーネントを選択します。このバグレポートに、audit2allow -w -a コマンドおよび audit2allow -a コマンドの出力を追加します。
4. audit2allow -a が表示するルールを使用するには、root で以下のコマンドを実行してカスタムモジュールを作成します。-M オプションは、現在の作業ディレクトリーに -M で指定した Type Enforcement ファイル (.te)を作成します。

   ~]# audit2allow -a -M mycertwatch
   ******************** IMPORTANT ***********************
   To make this policy package active, execute:
   
   semodule -i mycertwatch.pp
   

5. また、audit2allow は Type Enforcement ルールをポリシーパッケージ (.pp)にコンパイルします。

   ~]# ls
   mycertwatch.pp  mycertwatch.te
   

   モジュールをインストールするには、root で以下のコマンドを入力します。

   ~]# semodule -i mycertwatch.pp

   重要

   audit2allow で作成されたモジュールは、必要以上のアクセスを許可する可能性があります。audit2allow で作成されたポリシーをアップストリームの SELinux 一覧に追加して確認することが推奨されます。 このポリシーにバグが見つかった場合は、Red Hat Bugzilla のバグを作成します。

1. mkdir ユーティリティーを root として使用して、最上位のディレクトリーを作成します。

   ~]# mkdir /mywebsite

2. root で /mywebsite/index.html ファイルを作成します。以下の内容を /mywebsite/index.html にコピーして貼り付けます。

   <html>
   <h2>index.html from /mywebsite/</h2>
   </html>
   

3. Apache HTTP Server が /mywebsite/ と、その下のファイルおよびサブディレクトリーにのみ読み取りできるようにするには、httpd_sys_content_t タイプのディレクトリーにラベルを付けます。root で以下のコマンドを入力して、ラベル変更を file-context 設定に追加します。

   ~]# semanage fcontext -a -t httpd_sys_content_t "/mywebsite(/.*)?"

4. root として restorecon ユーティリティーを使用してラベルを変更します。

   ~]# restorecon -R -v /mywebsite
   restorecon reset /mywebsite context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /mywebsite/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   

5. この例では、root で /etc/httpd/conf/httpd.conf ファイルを編集します。既存のDocumentRoot オプションをコメントアウトします。DocumentRoot "/mywebsite" オプションを追加します。編集後、これらのオプションは以下のようになります。

   #DocumentRoot "/var/www/html"
   DocumentRoot "/mywebsite"
   

6. root で以下のコマンドを実行して、Apache HTTP Server のステータスを表示します。サーバーが停止している場合は、これを起動します。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)
   

   ~]# systemctl start httpd.service

   サーバーが実行中の場合は、root で以下のコマンドを実行してサービスを再起動します（これは httpd.confに加えた変更も適用します）。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: active (running) since Wed 2014-02-05 13:16:46 CET; 2s ago
   

   ~]# systemctl restart httpd.service

7. Web ブラウザーを使用して http://localhost/index.html に移動します。以下が表示されます。

   index.html from /mywebsite/
   

1. mkdir ユーティリティーを root として使用して、複数のサービス間でファイルを共有する新しい最上位ディレクトリーを作成します。

   ~]# mkdir /shares

2. file-context 設定のパターンに一致しないファイルおよびディレクトリーは、default_t タイプでラベル付けできます。このタイプは、制限のあるサービスにはアクセスできません。

   ~]$ ls -dZ /shares
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /shares
   

3. root で /shares/index.html ファイルを作成します。以下の内容を /shares/index.html にコピーして貼り付けます。

   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>
   

4. public_content_t タイプの /shares/ にラベルを付けると、Apache HTTP Server、FTP、rsync、および Samba による読み取り専用アクセスが許可されます。root で以下のコマンドを入力して、ラベル変更を file-context 設定に追加します。

   ~]# semanage fcontext -a -t public_content_t "/shares(/.*)?"

5. root として restorecon ユーティリティーを使用してラベルの変更を適用します。

   ~]# restorecon -R -v /shares/
   restorecon reset /shares context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
   restorecon reset /shares/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
   

1. samba、samba-common、および samba-client パッケージがインストールされていることを確認します（バージョン番号が異なる場合があります）。

   ~]$ rpm -q samba samba-common samba-client
   samba-3.4.0-0.41.el6.3.i686
   samba-common-3.4.0-0.41.el6.3.i686
   samba-client-3.4.0-0.41.el6.3.i686
   

   これらのパッケージがインストールされていない場合は、root で以下のコマンドを実行してインストールします。

   ~]# yum install package-name

2. root で /etc/samba/smb.conf ファイルを編集します。このファイルの下部に以下のエントリーを追加して、Samba から /shares/ ディレクトリーを共有します。

   [shares]
   comment = Documents for Apache HTTP Server, FTP, rsync, and Samba
   path = /shares
   public = yes
   writable = no
   

3. Samba ファイルシステムをマウントするには、Samba アカウントが必要です。root で次のコマンドを実行し、Samba アカウントを作成します。ここで、username は既存の Linux ユーザーです。たとえば、smbpasswd -a testuser は、Linux testuser ユーザーの Samba アカウントを作成します。

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.
   

   上記のコマンドを実行すると、システムに存在しないアカウントのユーザー名を指定すると、Cannot locate Unix account for 'username'! エラーが発生します。
4. Samba サービスを起動します。

   ~]# systemctl start smb.service

5. 以下のコマンドを入力して、利用可能な共有を一覧表示します。username は、手順 3 で追加した Samba アカウントです。パスワードの入力を求められたら、手順 3 で Samba アカウントに割り当てられたパスワードを入力します（バージョン番号が異なる場合があります）。

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   shares          Disk      Documents for Apache HTTP Server, FTP, rsync, and Samba
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------
   

6. mkdir ユーティリティーユーザーと、新しいディレクトリーを作成します。このディレクトリーは、shares Samba 共有のマウントに使用されます。

   ~]# mkdir /test/

7. root で以下のコマンドを実行して、shares Samba 共有を /test/ にマウントします。ユーザー名は手順 3 のユーザー名に置き換えます。

   ~]# mount //localhost/shares /test/ -o user=username

   ステップ 3 で設定されたユーザー名のパスワードを入力します。
8. Samba 経由で共有されているファイルの内容を表示します。

   ~]$ cat /test/index.html
   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>
   

1. httpd パッケージがインストールされていることを確認します（バージョン番号が異なる場合があります）。

   ~]$ rpm -q httpd
   httpd-2.2.11-6.i386
   

   このパッケージがインストールされていない場合は、root として yum ユーティリティーを使用してインストールします。

   ~]# yum install httpd

2. /var/www/html/ ディレクトリーに移動します。root で以下のコマンドを実行して、/shares/ ディレクトリーへのリンク（名前： shares）を作成します。

   html]# ln -s /shares/ shares

3. Apache HTTP Server を起動します。

   ~]# systemctl start httpd.service

4. Web ブラウザーを使用して http://localhost/shares に移動します。/shares/index.html ファイルが表示されます。

1. index.html ファイルを削除します。

   ~]# rm -i /shares/index.html

2. root として touch ユーティリティーを使用して、/shares/ に 3 つのファイルを作成します。

   ~]# touch /shares/file{1,2,3}
   ~]# ls -Z /shares/
   -rw-r--r--  root root system_u:object_r:public_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file3
   

3. root で以下のコマンドを実行して、Apache HTTP Server のステータスを表示します。

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)
   

   サーバーが停止している場合は、これを起動します。

   ~]# systemctl start httpd.service

4. Web ブラウザーを使用して http://localhost/shares に移動します。ディレクトリーの一覧が表示されます。
   

1. root で /etc/httpd/conf/httpd.conf ファイルを編集し、Listen オプションは httpd の SELinux ポリシーで設定されていないポートを一覧表示します。以下の例では、httpd が 10.0.0.1 IP アドレスと、TCP ポート 12345 をリッスンするように設定します。

   # Change this to Listen on specific IP addresses as shown below to 
   # prevent Apache from glomming onto all bound IP addresses (0.0.0.0)
   #
   #Listen 12.34.56.78:80
   Listen 10.0.0.1:12345
   

2. root ユーザーで以下のコマンドを実行し、ポートを SELinux ポリシー設定に追加します。

   ~]# semanage port -a -t http_port_t -p tcp 12345

3. ポートが追加されていることを確認します。

   ~]# semanage port -l | grep -w http_port_t
   http_port_t                    tcp      12345, 80, 443, 488, 8008, 8009, 8443
   

1. samba、samba-common、および samba-client パッケージがインストールされていることを確認します。

   ~]$ rpm -q samba samba-common samba-client
   package samba is not installed
   package samba-common is not installed
   package samba-client is not installed
   

   このパッケージのいずれかがインストールされていない場合は、yum ユーティリティーを使用して root でインストールします。

   ~]# yum install package-name

2. mkdir ユーティリティーを root として使用して、Samba を介してファイルを共有する新しい最上位ディレクトリーを作成します。

   ~]# mkdir /myshare

3. touch ユーティリティーの root を使用して、空のファイルを作成します。このファイルは後で、Samba 共有が正しくマウントされたことを確認します。

   ~]# touch /myshare/file1

4. SELinux により、Samba は、/etc/samba/smb.conf ファイルと Linux パーミッションが設定されている限り、samba _share_t タイプのラベルが付いたファイルを読み書きできます。root で以下のコマンドを入力して、ラベル変更を file-context 設定に追加します。

   ~]# semanage fcontext -a -t samba_share_t "/myshare(/.*)?"

5. root として restorecon ユーティリティーを使用してラベルの変更を適用します。

   ~]# restorecon -R -v /myshare
   restorecon reset /myshare context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
   restorecon reset /myshare/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
   

6. root で /etc/samba/smb.conf を編集します。このファイルの下部に以下を追加して、Samba から /myshare/ ディレクトリーを共有します。

   [myshare]
   comment = My share
   path = /myshare
   public = yes
   writable = no
   

7. Samba ファイルシステムをマウントするには、Samba アカウントが必要です。root で次のコマンドを実行し、Samba アカウントを作成します。ここで、username は既存の Linux ユーザーです。たとえば、smbpasswd -a testuser は、Linux testuser ユーザーの Samba アカウントを作成します。

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.
   

   上記のコマンドを入力すると、システムに存在しないアカウントのユーザー名を指定すると、Cannot locate Unix account for 'username'! エラーが発生します。
8. Samba サービスを起動します。

   ~]# systemctl start smb.service

9. 以下のコマンドを入力して、利用可能な共有を一覧表示します。username は、手順 7 で追加した Samba アカウントです。パスワードの入力を求められたら、手順 7 で Samba アカウントに割り当てられたパスワードを入力します（バージョン番号が異なる場合があります）。

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   myshare         Disk      My share
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------
   

10. mkdir ユーティリティーを root として使用して、新しいディレクトリーを作成します。このディレクトリーは、myshare Samba 共有のマウントに使用されます。

    ~]# mkdir /test/

11. root で以下のコマンドを実行して、myshare Samba 共有を /test/ にマウントします。ユーザー名は、手順 7 のユーザー名に置き換えます。

    ~]# mount //localhost/myshare /test/ -o user=username

    手順 7 で設定されたユーザー名のパスワードを入力します。
12. 以下のコマンドを入力して、手順 3 で作成した file1 ファイルを表示します。

    ~]$ ls /test/
    file1
    

1. root ユーザーとして、/var/www/html/file1.html ファイルを作成します。以下の内容をこのファイルにコピーして貼り付けます。

   <html>
   <h2>File being shared through the Apache HTTP Server and Samba.</h2>
   </html>
   

2. 以下のコマンドを実行して、file1.html の SELinux コンテキストを表示します。

   ~]$ ls -Z /var/www/html/file1.html
   -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1.html
   

   このファイルには httpd_sys_content_t のラベルが付けられます。デフォルトでは、Apache HTTP Server はこのタイプにアクセスできますが、Samba はアクセスできません。
3. Apache HTTP Server を起動します。

   ~]# systemctl start httpd.service

4. ユーザーが書き込みアクセス権があるディレクトリーに移動し、以下のコマンドを入力します。デフォルト設定に変更がなければ、このコマンドは成功します。

   ~]$ wget http://localhost/file1.html
   Resolving localhost... 127.0.0.1
   Connecting to localhost|127.0.0.1|:80... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 84 [text/html]
   Saving to: `file1.html.1'
   
   100%[=======================>] 84          --.-K/s   in 0s      
   
   `file1.html.1' saved [84/84]
   

5. root で /etc/samba/smb.conf を編集します。このファイルの下部に以下を追加して、Samba 経由で /var/www/html/ ディレクトリーを共有します。

   [website]
   comment = Sharing a website
   path = /var/www/html/
   public = no
   writable = no
   

6. /var/www/html/ ディレクトリーには、httpd_sys_content_t タイプのラベルが付けられます。デフォルトでは、Samba が Linux パーミッションを許可する場合でも、このタイプのラベルが付いたファイルおよびディレクトリーにはアクセスできません。Samba アクセスを許可するには、samba_export_all_ro ブール値を有効にします。

   ~]# setsebool -P samba_export_all_ro on

   変更が再起動後も維持しない場合は、-P オプションは使用しないでください。samba_export_all_ro のブール値を有効にすると、Samba があらゆるタイプにアクセスできることに注意してください。
7. Samba サービスを起動します。

   ~]# systemctl start smb.service

1. NFS サーバーが実行している場合は、停止します。

   [nfs-srv]# systemctl stop nfs

   サーバーが停止していることを確認します。

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: inactive (dead)
   

2. /etc/sysconfig/nfs ファイルを編集し、RPCNFSDARGS フラグを "-V 4.2" に設定します。

   # Optional arguments passed to rpc.nfsd. See rpc.nfsd(8)
   RPCNFSDARGS="-V 4.2"

3. サーバーを再度起動し、稼働していることを確認します。出力には以下のような情報が含まれます。タイムスタンプのみが異なります。

   [nfs-srv]# systemctl start nfs

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: active (exited) since Wed 2013-08-28 14:07:11 CEST; 4s ago
   

4. クライアントで NFS サーバーをマウントします。

   [nfs-client]# mount -o v4.2 server:mntpoint localmountpoint

5. すべての SELinux ラベルがサーバーからクライアントに正常に渡されるようになりました。

   [nfs-srv]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file
   [nfs-client]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file

1. この例では、cvs および xinetd パッケージが必要です。パッケージがインストールされていることを確認します。

   [cvs-srv]$ rpm -q cvs xinetd
   package cvs is not installed
   package xinetd is not installed
   

   インストールされていない場合は、root として yum ユーティリティーを使用してインストールします。

   [cvs-srv]# yum install cvs xinetd

2. root で以下のコマンドを入力し、CVS という名前のグループを作成します。

   [cvs-srv]# groupadd CVS

   これは、system-config-users ユーティリティーを使用して行うこともできます。
3. cvsuser のユーザー名を持つユーザーを作成し、このユーザーに CVS グループのメンバーにします。これは system-config-users を使用して実行できます。
4. /etc/services ファイルを編集し、CVS サーバーに、以下と同様のコメント解除のエントリーがあることを確認します。

   cvspserver	2401/tcp			# CVS client/server operations
   cvspserver	2401/udp			# CVS client/server operations
   

5. ファイルシステムのルート領域に CVS リポジトリーを作成します。SELinux を使用する場合は、ルートファイルシステムにリポジトリーを指定することが推奨されます。これにより、他のサブディレクトリーに影響を与えずに再帰的なラベルを指定することができます。たとえば、root で、リポジトリーを格納する /cvs/ ディレクトリーを作成します。

   [root@cvs-srv]# mkdir /cvs

6. すべてのユーザーに /cvs/ ディレクトリーに対して完全な権限を付与します。

   [root@cvs-srv]# chmod -R 777 /cvs

   警告

   以下の例はのみ設定され、これらのパーミッションを実稼働システムで使用しないでください。
7. /etc/xinetd.d/cvs ファイルを編集し、CVS セクションがコメント解除され、/cvs/ ディレクトリーを使用するように設定されていることを確認します。ファイルは以下のようになるはずです。

   service cvspserver
   {
   	disable	= no
   	port			= 2401
   	socket_type		= stream
   	protocol		= tcp
   	wait			= no
   	user			= root
   	passenv			= PATH
   	server			= /usr/bin/cvs
   	env			= HOME=/cvs
   	server_args		= -f --allow-root=/cvs pserver
   #	bind			= 127.0.0.1
   

8. xinetd デーモンを起動します。

   [cvs-srv]# systemctl start xinetd.service

9. system-config-firewall ユーティリティーを使用して、ポート 2401 で TCP 経由で受信接続を許可するルールを追加します。
10. クライアント側で、cvsuser ユーザーで以下のコマンドを入力します。

    [cvsuser@cvs-client]$ cvs -d /cvs init

11. この時点で、CVS が設定されていますが、SELinux はログインとファイルアクセスを拒否します。これを行うには、cvs-client に $CVSROOT 変数を設定し、リモートでログインを試行します。cvs-client で以下のステップを実行します。

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    cvs [login aborted]: unrecognized auth response from 192.168.100.1: cvs pserver: cannot open /cvs/CVSROOT/config: Permission denied
    

    SELinux はアクセスをブロックしました。このアクセスを許可する SELinux を取得するには、以下の手順を cvs-srv で実行するとします。
12. /cvs/ ディレクトリーの既存データおよび新規データを再帰的にラベルを付け 、cvs_data_t タイプを指定するには、/cvs/ ディレクトリーのコンテキストを変更します。

    [root@cvs-srv]# semanage fcontext -a -t cvs_data_t '/cvs(/.*)?'
    [root@cvs-srv]# restorecon -R -v /cvs

13. クライアント cvs-client は、ログインでき、このリポジトリー内のすべての CVS リソースにアクセスできるようになります。

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    [cvsuser@cvs-client]$
    

1. squid がインストールされていることを確認します。

   ~]$ rpm -q squid
   package squid is not installed
   

   このパッケージがインストールされていない場合は、root として yum ユーティリティーを使用してインストールします。

   ~]# yum install squid

2. 主な設定ファイル /etc/squid/squid.conf を編集し、cache_dir ディレクティブがコメント解除されていて、以下のようになっていることを確認します。

   cache_dir ufs /var/spool/squid 100 16 256
   

   この行は、この例で使用する cache_dir ディレクティブのデフォルト設定を指定します。Squid ストレージフォーマット(ufs)、キャッシュが存在するシステムのディレクトリー(/var/spool/squid)、キャッシュに使用されるディスク領域の容量(100)、最後に作成される最初のレベルおよび2 レベルのキャッシュディレクトリーの数を指定します（それぞれ16 および 256 ）。
3. 同じ設定ファイルで、http_access allow localnet ディレクティブのコメントを解除します。これにより、Red Hat Enterprise Linux の Squid のデフォルトインストールで自動的に設定される localnet ACL からのトラフィックが可能になります。これにより、既存の RFC1918 ネットワーク上のクライアントマシンがプロキシー経由でアクセスできるようになります。これは、この簡単な例には十分です。
4. 同じ設定ファイルで visible_hostname ディレクティブがコメント解除されていて、マシンのホスト名に設定されていることを確認します。この値は、ホストの完全修飾ドメイン名(FQDN)である必要があります。

   visible_hostname squid.example.com
   

5. root で次のコマンドを実行して、squid デーモンを起動します。これが squid を初めて起動するため、このコマンドは cache_dir ディレクティブで指定されているとおりにキャッシュディレクトリーを初期化し、デーモンを起動します。

   ~]# systemctl start squid.service

   squid が正常に起動することを確認します。出力には以下の情報が含まれ、タイムスタンプのみが異なります。

   ~]# systemctl status squid.service
   squid.service - Squid caching proxy
      Loaded: loaded (/usr/lib/systemd/system/squid.service; disabled)
      Active: active (running) since Thu 2014-02-06 15:00:24 CET; 6s ago
   

6. squid _var_run_t の値で示されているように、squid プロセス ID(PID)が、制限のあるサービスとして起動したことを確認します。

   ~]# ls -lZ /var/run/squid.pid 
   -rw-r--r--. root squid unconfined_u:object_r:squid_var_run_t:s0 /var/run/squid.pid
   

7. この時点で、先に設定した localnet ACL に接続されたクライアントマシンは、このホストの内部インターフェースをプロキシーとして問題なく使用できます。これは、一般的なすべての Web ブラウザーまたはシステム全体の設定で設定できます。Squid は、ターゲットマシンのデフォルトのポート(TCP 3128)をリッスンしていますが、ターゲットマシンは一般的なポートを介したインターネット上の他のサービスへの発信接続のみを許可します。これは、SELinux 自体で定義されるポリシーです。SELinux は、次の手順で説明されているように標準以外のポートへのアクセスを拒否します。
8. クライアントが TCP ポート 10000 でリッスンする Web サイトなど、標準以外のポートを使用して要求を行うと、以下のような拒否がログに記録されます。

   SELinux is preventing the squid daemon from connecting to network port 10000
   

9. このアクセスを許可するには、squid_connect_any のブール値を変更してください。これは、デフォルトでは無効になっています。

   ~]# setsebool -P squid_connect_any on

   注記

   setsebool への変更が再起動後も維持しない場合は、-P オプションは使用しないでください。
10. クライアントは、Squid の非標準ポートにアクセスでき、クライアントの代わりにポートへの接続を開始できるようになったため、クライアントはインターネットで標準以外のポートにアクセスできるようになります。

1. mysql のデフォルトのデータベースの場所の SELinux コンテキストを表示します。

   ~]# ls -lZ /var/lib/mysql
   drwx------. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql
   

   これは、データベースファイルの場所のデフォルトのコンテキスト要素である mysqld_db_t を示しています。このコンテキストは、適切に機能させるには、この例で使用される新しいデータベースの場所に手動で適用する必要があります。
2. 以下のコマンドを入力し、mysqld の root パスワードを入力し、利用可能なデータベースを表示します。

   ~]# mysqlshow -u root -p
   Enter password: *******
   +--------------------+
   |     Databases      |
   +--------------------+
   | information_schema |
   | mysql              |
   | test               |
   | wikidb             |
   +--------------------+
   

3. mysqld デーモンを停止します。

   ~]# systemctl stop mariadb.service

4. データベースの新しい場所に新しいディレクトリーを作成します。以下の例では、/mysql/ が使用されます。

   ~]# mkdir -p /mysql

5. データベースファイルを以前の場所から新しい場所にコピーします。

   ~]# cp -R /var/lib/mysql/* /mysql/

6. mysql ユーザーおよびグループがアクセスできるようにするには、この場所の所有権を変更します。これにより、SELinux が依然として表示される従来の Unix パーミッションが設定されます。

   ~]# chown -R mysql:mysql /mysql

7. 以下のコマンドを実行して、新しいディレクトリーの最初のコンテキストを表示します。

   ~]# ls -lZ /mysql
   drwxr-xr-x. mysql mysql unconfined_u:object_r:usr_t:s0   mysql
   

   新規作成されたディレクトリーの contextusr_t は、現在 MariaDB データベースファイルの場所として SELinux に適していません。コンテキストが変更されると、MariaDB はこのエリアで適切に機能できるようになります。
8. メインの MariaDB 設定ファイル /etc/my.cnf をテキストエディターで開き、datadir オプションを変更して新しい場所を参照できるようにします。この例では、入力すべき値は /mysql です。

   [mysqld]
   datadir=/mysql
   

   このファイルを保存して終了します。
9. mysqld を起動します。サービスが起動に失敗し、拒否メッセージは /var/log/messages ファイルにログに記録されます。

   ~]# systemctl start mariadb.service
   Job for mariadb.service failed. See 'systemctl status postgresql.service' and 'journalctl -xn' for details.
   

   ただし、audit デーモンが setroubleshoot サービスとともに実行されている場合は、代わりに /var/log/audit/audit.log ファイルに記録されます。

   SELinux is preventing /usr/libexec/mysqld "write" access on /mysql. For complete SELinux messages. run sealert -l b3f01aff-7fa6-4ebe-ad46-abaef6f8ad71
   

   この拒否の理由は、/mysql/ が MariaDB データファイルに対して正しくラベル付けされていないことです。SELinux は、MariaDB が、usr_t のラベルが付けられたコンテンツへのアクセスを受け取らないように停止します。この問題を解決するには以下の手順を実行します。
10. 以下のコマンドを実行して、/mysql/ のコンテキストマッピングを追加します。semanage ユーティリティーは、デフォルトではインストールされていません。システムにない場合は、policycoreutils-python パッケージをインストールします。

    ~]# semanage fcontext -a -t mysqld_db_t "/mysql(/.*)?"

11. このマッピングは、/etc/selinux/targeted/contexts/files/file_contexts.local ファイルに書き込まれます。

    ~]# grep -i mysql /etc/selinux/targeted/contexts/files/file_contexts.local
    
    /mysql(/.*)?    system_u:object_r:mysqld_db_t:s0
    

12. restorecon ユーティリティーを使用して、実行中のシステムにこのコンテキストマッピングを適用します。

    ~]# restorecon -R -v /mysql

13. /mysql/ の場所には、MariaDB の正しいコンテキストでラベル付けされ、mysqld が起動します。

    ~]# systemctl start mariadb.service

14. コンテキストが /mysql/ に対して変更されたことを確認します。

    ~]$ ls -lZ /mysql
    drwxr-xr-x. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql
    

15. 場所が変更され、ラベルが付けられた mysqld が正常に開始されました。この時点では、すべての稼働中のサービスがテストして通常の操作を確認する必要があります。