Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.16.2. コマンドラインクライアントを使用したロックダウンのホワイトリストオプションの設定

ロックダウンのホワイトリストには、コマンド、セキュリティーのコンテキスト、ユーザー、およびユーザー ID を追加できます。ホワイトリストのコマンドエントリーがアスタリスク*で終了している場合は、そのコマンドで始まるすべてのコマンドラインが一致することになります。*がなければ、コマンドと引数が完全に一致する必要があります。
ここでのコンテキストは、実行中のアプリケーションやサービスのセキュリティー (SELinux) コンテキストです。実行中のアプリケーションのコンテキストを確認するには、次のコマンドを実行します。 
~]$ ps -e --context
このコマンドは、実行中のアプリケーションをすべて返します。grep ツールを使用して、出力から目的のアプリケーションをパイプ処理します。以下に例を示します。 
~]$ ps -e --context | grep example_program
ホワイトリストにあるコマンドラインの一覧を表示するには、root で次のコマンドを実行します。 
~]# firewall-cmd --list-lockdown-whitelist-commands
ホワイトリストに command コマンドを追加するには、root で次のコマンドを実行します。 
~]# firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/command'
ホワイトリストから command コマンドを削除するには、root で次のコマンドを実行します。 
~]# firewall-cmd --remove-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/command'
command コマンドがホワイトリストに含まれるかどうかを確認するには、root で次のコマンドを実行します。 
~]# firewall-cmd --query-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/command'
このコマンドでは、含まれる場合は yes が出力され、終了ステータスは 0 になります。無効の場合は no と出力され、終了ステータスは 1 になります。
ホワイトリストにあるセキュリティーコンテキストの一覧を表示するには、root で次のコマンドを実行します。 
~]# firewall-cmd --list-lockdown-whitelist-contexts
ホワイトリストに context コンテキストを追加するには、root で次のコマンドを実行します。 
~]# firewall-cmd --add-lockdown-whitelist-context=context
ホワイトリストから context コンテキストを削除するには、root で次のコマンドを実行します。 
~]# firewall-cmd --remove-lockdown-whitelist-context=context
context コンテキストがホワイトリストに含まれるかどうかを確認するには、root で次のコマンドを実行します。 
~]# firewall-cmd --query-lockdown-whitelist-context=context
含まれる場合は、yes と出力され、終了ステータスは 0 になります。含まれない場合は、no が出力され、終了ステータスは 1 になります。
ホワイトリストにあるユーザー ID の一覧を表示するには、root で次のコマンドを実行します。 
~]# firewall-cmd --list-lockdown-whitelist-uids
ホワイトリストにユーザー ID (uid) を追加するには、root で次のコマンドを実行します。 
~]# firewall-cmd --add-lockdown-whitelist-uid=uid
ホワイトリストからユーザー ID (uid) を削除するには、root で次のコマンドを実行します。 
~]# firewall-cmd --remove-lockdown-whitelist-uid=uid
ホワイトリストにユーザー ID (uid) があるかどうかを確認するには、次のコマンドを実行します。 
~]$ firewall-cmd --query-lockdown-whitelist-uid=uid
含まれる場合は、yes と出力され、終了ステータスは 0 になります。含まれない場合は、no が出力され、終了ステータスは 1 になります。
ホワイトリストにあるユーザー名の一覧を表示するには、root で次のコマンドを実行します。 
~]# firewall-cmd --list-lockdown-whitelist-users
ホワイトリストにユーザー名 (user) を追加するには、root で次のコマンドを実行します。 
~]# firewall-cmd --add-lockdown-whitelist-user=user
ホワイトリストからユーザー名 (user) を削除するには、root で次のコマンドを実行します。 
~]# firewall-cmd --remove-lockdown-whitelist-user=user
ホワイトリストにユーザー名 (user) があるかどうかを確認するには、次のコマンドを実行します。 
~]$ firewall-cmd --query-lockdown-whitelist-user=user
含まれる場合は、yes と出力され、終了ステータスは 0 になります。含まれない場合は、no が出力され、終了ステータスは 1 になります。