SELinux ユーザーおよび管理者のガイド
I. SELinux
Expand section "I. SELinux" Collapse section "I. SELinux"
1. 1. はじめに
  Expand section "1. はじめに" Collapse section "1. はじめに"
2. 2. SELinux コンテキスト
  Expand section "2. SELinux コンテキスト" Collapse section "2. SELinux コンテキスト"
3. 3. Targeted ポリシー
  Expand section "3. Targeted ポリシー" Collapse section "3. Targeted ポリシー"
  1. 3.1. 制限のあるプロセス
  2. 3.2. 制限のないプロセス
  3. 3.3. 制限のあるユーザーおよび制限のないユーザー
    
    Expand section "3.3. 制限のあるユーザーおよび制限のないユーザー" Collapse section "3.3. 制限のあるユーザーおよび制限のないユーザー"
    
    3.3.1. sudo 移行および SELinux ロール
4. 4. SELinux の使用
  Expand section "4. SELinux の使用" Collapse section "4. SELinux の使用"
  1. 4.1. SELinux パッケージ
  2. 4.2. どのログファイルが使用されるか
  3. 4.3. 主要設定ファイル
  4. 4.4. SELinux のステータスおよびモードの永続的変更
    
    Expand section "4.4. SELinux のステータスおよびモードの永続的変更" Collapse section "4.4. SELinux のステータスおよびモードの永続的変更"
    
    4.4.1. SELinux の有効化
    
    Expand section "4.4.1. SELinux の有効化" Collapse section "4.4.1. SELinux の有効化"
    
    4.4.1.1. Permissive モードに設定する場合:
    
    4.4.1.2. Enforcing モードに設定する場合:
    
    4.4.2. SELinux の無効化
  5. 4.5. システムの起動時での SELinux モードの変更
  6. 4.6. ブール値
    
    Expand section "4.6. ブール値" Collapse section "4.6. ブール値"
    
    4.6.1. ブール値の一覧表示
    
    4.6.2. ブール値の設定
    
    4.6.3. シェル自動完了
  7. 4.7. SELinux コンテキスト - ファイルのラベル付け
    
    Expand section "4.7. SELinux コンテキスト - ファイルのラベル付け" Collapse section "4.7. SELinux コンテキスト - ファイルのラベル付け"
    
    4.7.1. 一時的な変更: chcon
    
    4.7.2. 永続的な変更 - semanage fcontext
    
    4.7.3. ファイルコンテキストの決定方法
  8. 4.8. file_t タイプおよび default_t タイプ
  9. 4.9. ファイルシステムのマウント
    
    Expand section "4.9. ファイルシステムのマウント" Collapse section "4.9. ファイルシステムのマウント"
    
    4.9.1. コンテキストマウント
    
    4.9.2. デフォルトコンテキストの変更
    
    4.9.3. NFS ボリュームのマウント
    
    4.9.4. 複数の NFS マウント
    
    4.9.5. コンテキストマウントの永続化
  10. 4.10. SELinux ラベルの維持
    
    Expand section "4.10. SELinux ラベルの維持" Collapse section "4.10. SELinux ラベルの維持"
    
    4.10.1. ファイルおよびディレクトリーのコピー
    
    4.10.2. ファイルとディレクトリーの移動
    
    4.10.3. デフォルトの SELinux コンテキストの確認
    
    4.10.4. tarによるファイルのアーカイブ
    
    4.10.5. starを使用したファイルのアーカイブ
  11. 4.11. 情報収集ツール
  12. 4.12. SELinux ポリシーモジュールの優先付けと無効化
  13. 4.13. Multi-Level Security (MLS)
    
    Expand section "4.13. Multi-Level Security (MLS)" Collapse section "4.13. Multi-Level Security (MLS)"
    
    4.13.1. MLS およびシステム権限
    
    4.13.2. SELinux での MLS の有効化
    
    4.13.3. 特定の MLS 範囲を持つユーザーの作成
    
    4.13.4. Polyinstantiated ディレクトリーの設定
  14. 4.14. ファイル名の推移
  15. 4.15. ptrace() の無効化
  16. 4.16. サムネイルの保護
5. 5. sepolicy スイート
  Expand section "5. sepolicy スイート" Collapse section "5. sepolicy スイート"
6. 6. ユーザーの制限
  Expand section "6. ユーザーの制限" Collapse section "6. ユーザーの制限"
7. 7. Sandbox を使用したプログラムの保護
  Expand section "7. Sandbox を使用したプログラムの保護" Collapse section "7. Sandbox を使用したプログラムの保護"
  1. 7.1. サンドボックスを使用したアプリケーションの実行
8. 8. sVirt
  Expand section "8. sVirt" Collapse section "8. sVirt"
  1. 8.1. セキュリティーおよび仮想化
  2. 8.2. sVirt のラベル付け
9. 9. セキュアな Linux コンテナー
10. 10. SELinux systemd のアクセス制御
  Expand section "10. SELinux systemd のアクセス制御" Collapse section "10. SELinux systemd のアクセス制御"
  1. 10.1. サービスへの SELinux のアクセス権限
  2. 10.2. SELinux と journald
11. 11. トラブルシューティング
  Expand section "11. トラブルシューティング" Collapse section "11. トラブルシューティング"
  1. 11.1. アクセスが拒否された場合の動作
  2. 11.2. 問題の上位 3 つの原因
    
    Expand section "11.2. 問題の上位 3 つの原因" Collapse section "11.2. 問題の上位 3 つの原因"
    
    11.2.1. ラベル付けの問題
    
    Expand section "11.2.1. ラベル付けの問題" Collapse section "11.2.1. ラベル付けの問題"
    
    11.2.1.1. 正しいコンテキストとは?
    
    11.2.2. 制限のあるサービスの実行方法
    
    11.2.3. ルールの進化とアプリケーションの破損
  3. 11.3. 問題の修正
    
    Expand section "11.3. 問題の修正" Collapse section "11.3. 問題の修正"
    
    11.3.1. Linux の権限
    
    11.3.2. サイレント拒否の考えられる原因
    
    11.3.3. サービスの man ページ
    
    11.3.4. Permissive ドメイン
    
    Expand section "11.3.4. Permissive ドメイン" Collapse section "11.3.4. Permissive ドメイン"
    
    11.3.4.1. ドメインを Permissive にする
    
    11.3.4.2. Permissive ドメインの無効化
    
    11.3.4.3. Permissive ドメインの拒否
    
    11.3.5. 拒否の検索と表示
    
    11.3.6. Raw 監査メッセージ
    
    11.3.7. sealert メッセージ
    
    11.3.8. アクセスの許可: audit2allow
12. 12. 追加情報
  Expand section "12. 追加情報" Collapse section "12. 追加情報"
  1. 12.1. コントリビューター
  2. 12.2. その他リソース
II. 制限のあるサービスの管理
Expand section "II. 制限のあるサービスの管理" Collapse section "II. 制限のあるサービスの管理"
1. 13. Apache HTTP サーバー
  Expand section "13. Apache HTTP サーバー" Collapse section "13. Apache HTTP サーバー"
  1. 13.1. Apache HTTP サーバーおよび SELinux
  2. 13.2. タイプ
  3. 13.3. ブール値
  4. 13.4. 設定例
    
    Expand section "13.4. 設定例" Collapse section "13.4. 設定例"
    
    13.4.1. 静的サイトの実行
    
    13.4.2. NFS および CIFS ボリュームの共有
    
    13.4.3. サービス間でのファイルの共有
    
    13.4.4. ポート番号の変更
2. 14. Samba
  Expand section "14. Samba" Collapse section "14. Samba"
  1. 14.1. Samba と SELinux
  2. 14.2. タイプ
  3. 14.3. ブール値
  4. 14.4. 設定例
    
    Expand section "14.4. 設定例" Collapse section "14.4. 設定例"
    
    14.4.1. 作成したディレクトリーの共有
    
    14.4.2. Web サイトの共有
3. 15. ファイル転送プロトコル
  Expand section "15. ファイル転送プロトコル" Collapse section "15. ファイル転送プロトコル"
  1. 15.1. タイプ
  2. 15.2. ブール値
4. 16. ネットワークファイルシステム
  Expand section "16. ネットワークファイルシステム" Collapse section "16. ネットワークファイルシステム"
  1. 16.1. NFS と SELinux
  2. 16.2. タイプ
  3. 16.3. ブール値
  4. 16.4. 設定の例
    
    Expand section "16.4. 設定の例" Collapse section "16.4. 設定の例"
    
    16.4.1. SELinux ラベル付き NFS のサポートの有効化
5. 17. BIND (Berkeley Internet Name Domain)
  Expand section "17. BIND (Berkeley Internet Name Domain)" Collapse section "17. BIND (Berkeley Internet Name Domain)"
  1. 17.1. BIND および SELinux
  2. 17.2. タイプ
  3. 17.3. ブール値
  4. 17.4. 設定の例
    
    Expand section "17.4. 設定の例" Collapse section "17.4. 設定の例"
    
    17.4.1. 動的 DNS
6. 18. 同時バージョン管理システム
  Expand section "18. 同時バージョン管理システム" Collapse section "18. 同時バージョン管理システム"
  1. 18.1. CVS と SELinux
  2. 18.2. タイプ
  3. 18.3. ブール値
  4. 18.4. 設定の例
    
    Expand section "18.4. 設定の例" Collapse section "18.4. 設定の例"
    
    18.4.1. CDK の設定
7. 19. Squid キャッシングプロキシー
  Expand section "19. Squid キャッシングプロキシー" Collapse section "19. Squid キャッシングプロキシー"
  1. 19.1. Squid キャッシングプロキシーおよび SELinux
  2. 19.2. タイプ
  3. 19.3. ブール値
  4. 19.4. 設定の例
    
    Expand section "19.4. 設定の例" Collapse section "19.4. 設定の例"
    
    19.4.1. 標準以外のポートへの Squid 接続
8. 20. MariaDB (MySQL の代替)
  Expand section "20. MariaDB (MySQL の代替)" Collapse section "20. MariaDB (MySQL の代替)"
  1. 20.1. MariaDB と SELinux
  2. 20.2. タイプ
  3. 20.3. ブール値
  4. 20.4. 設定の例
    
    Expand section "20.4. 設定の例" Collapse section "20.4. 設定の例"
    
    20.4.1. MariaDB によるデータベースの場所の変更
9. 21. PostgreSQL
  Expand section "21. PostgreSQL" Collapse section "21. PostgreSQL"
  1. 21.1. PostgreSQL および SELinux
  2. 21.2. タイプ
  3. 21.3. ブール値
  4. 21.4. 設定の例
    
    Expand section "21.4. 設定の例" Collapse section "21.4. 設定の例"
    
    21.4.1. PostgreSQL データベースの場所の変更
10. 22. rsync
  Expand section "22. rsync" Collapse section "22. rsync"
  1. 22.1. rsync およびSELinux
  2. 22.2. タイプ
  3. 22.3. ブール値
  4. 22.4. 設定の例
    
    Expand section "22.4. 設定の例" Collapse section "22.4. 設定の例"
    
    22.4.1. デーモンとしての Rsync
11. 23. postfix
  Expand section "23. postfix" Collapse section "23. postfix"
  1. 23.1. Postfix および SELinux
  2. 23.2. タイプ
  3. 23.3. ブール値
  4. 23.4. 設定の例
    
    Expand section "23.4. 設定の例" Collapse section "23.4. 設定の例"
    
    23.4.1. SpamAssassin および Postfix
12. 24. DHCP
  Expand section "24. DHCP" Collapse section "24. DHCP"
  1. 24.1. DHCP および SELinux
  2. 24.2. タイプ
13. 25. OpenShift by Red Hat
  Expand section "25. OpenShift by Red Hat" Collapse section "25. OpenShift by Red Hat"
  1. 25.1. OpenShift および SELinux
  2. 25.2. タイプ
  3. 25.3. ブール値
  4. 25.4. 設定の例
    
    Expand section "25.4. 設定の例" Collapse section "25.4. 設定の例"
    
    25.4.1. デフォルトの OpenShift ディレクトリーの変更
14. 26. ID 管理
  Expand section "26. ID 管理" Collapse section "26. ID 管理"
  1. 26.1. ID 管理と SELinux
    
    Expand section "26.1. ID 管理と SELinux" Collapse section "26.1. ID 管理と SELinux"
    
    26.1.1. Active Directory ドメインへの信頼
  2. 26.2. 設定の例
    
    Expand section "26.2. 設定の例" Collapse section "26.2. 設定の例"
    
    26.2.1. IdM ユーザーへの SELinux ユーザーのマッピング
15. 27. Red Hat Gluster Storage
  Expand section "27. Red Hat Gluster Storage" Collapse section "27. Red Hat Gluster Storage"
  1. 27.1. Red Hat Gluster Storage および SELinux
  2. 27.2. タイプ
  3. 27.3. ブール値
  4. 27.4. 設定の例
    
    Expand section "27.4. 設定の例" Collapse section "27.4. 設定の例"
    
    27.4.1. Gluster ブリックのラベル付け
16. 28. 参考資料
A. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第13章 Apache HTTP サーバー

Apache HTTP サーバーは、現在の HTTP 標準とともにオープンソースの HTTP サーバーを提供します。^[14]

Red Hat Enterprise Linux では、httpd パッケージは Apache HTTP Server を提供します。以下のコマンドを実行して、httpd パッケージがインストールされているかどうかを確認します。

~]$ rpm -q httpd
package httpd is not installed

インストールされておらず、Apache HTTP Server を使用する場合は、root で yum ユーティリティーを使用してインストールします。

~]# yum install httpd

13.1. Apache HTTP サーバーおよび SELinux

SELinux を有効にすると、Apache HTTP Server (httpd) はデフォルトで制限ありで実行されます。制限のあるプロセスは、独自のドメインで実行され、他の制限のあるプロセスから分離されます。制限のあるプロセスが攻撃者によって侵害された場合、SELinuxポリシーの設定に応じて、攻撃者のリソースへのアクセスと、攻撃者が行う可能性のある損害は制限されます。以下の例は、独自のドメインで実行している httpd プロセスを示しています。この例では、httpd、setroubleshoot、setroubleshoot-server、および policycoreutils-python パッケージがインストールされていることを前提としています。

getenforce コマンドを実行して、SELinux が Enforcing モードで実行されていることを確認します。
```
~]$ getenforce
Enforcing
```
SELinux が Enforcing モードで実行されていると、このコマンドは Enforcing を返します。

root で以下のコマンドを入力し、httpd を起動します。

~]# systemctl start httpd.service

サービスが実行中であることを確認します。出力には以下の情報が含まれている必要があります（タイムスタンプのみは異なります）。

~]# systemctl status httpd.service       
httpd.service - The Apache HTTP Server
	  Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
	  Active: active (running) since Mon 2013-08-05 14:00:55 CEST; 8s ago

httpd プロセスを表示するには、以下のコマンドを実行します。
```
~]$ ps -eZ | grep httpd
system_u:system_r:httpd_t:s0    19780 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    19781 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    19782 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    19783 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    19784 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0    19785 ?        00:00:00 httpd
```
httpd プロセスに関連付けられている SELinux コンテキストは system_u:system_r:httpd_t:s0 です。コンテキストの 2 番目の部分 httpd_t はタイプです。タイプは、プロセスのドメインとファイルのタイプを定義します。この場合、httpd プロセスは httpd_t ドメインで実行されています。

SELinux ポリシーは、制限のあるドメイン (httpd_tなど) で実行されるプロセスが、ファイル、その他のプロセス、およびシステム一般とどのように対話するかを定義します。httpd によるアクセスを可能にするには、ファイルが正しくラベル付けされている必要があります。たとえば、httpd は httpd_sys_content_t タイプのラベルが付いたファイルを読み取ることができますが、Linux(DAC)パーミッションで書き込みが許可されている場合でも書き込みはできません。スクリプトのネットワークアクセスの許可、NFS および CIFS ボリュームへの httpd アクセスの許可、httpd による Common Gateway Interface (CGI) スクリプトの実行の許可など、特定の動作を許可するには、ブール値を有効にする必要があります。

/etc/httpd/conf/httpd.conf ファイルが TCP ポート 80、443、488、8008、8009、または 8443 以外のポートを httpd がリッスンするように設定されている場合は、semanage port コマンドを使用して、新しいポート番号を SELinux ポリシー設定に追加する必要があります。以下の例では、httpd 用の SELinux ポリシー設定で定義されていないポートをリッスンするように httpd を設定すると、httpd が起動できなくなります。また、この例では、ポリシーで定義されていない標準以外のポートを httpd が正常にリッスンできるように SELinux システムを設定する方法も示しています。この例では、httpd パッケージがインストールされていることを前提としています。この例では、各コマンドを root ユーザーとして実行します。

以下のコマンドを実行して、httpd が実行されていないことを確認します。

~]# systemctl status httpd.service
httpd.service - The Apache HTTP Server
	  Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
          Active: inactive (dead)

出力が異なる場合は、プロセスを停止します。

~]# systemctl stop httpd.service

semanage ユーティリティーを使用して、SELinux で httpd がリッスンできるポートを表示します。
```
~]# semanage port -l | grep -w http_port_t
http_port_t                    tcp      80, 443, 488, 8008, 8009, 8443
```
/etc/httpd/conf/httpd.conf ファイルを編集します。Listen オプションを設定し、httpd の SELinux ポリシー設定で設定されていないポートを一覧表示します。この例では、httpd がポート 12345 をリッスンするように設定されています。
```
# Change this to Listen on specific IP addresses as shown below to 
# prevent Apache from glomming onto all bound IP addresses (0.0.0.0)
#
#Listen 12.34.56.78:80
Listen 127.0.0.1:12345
```

以下のコマンドを入力して、httpd を起動します。

~]# systemctl start httpd.service
Job for httpd.service failed. See 'systemctl status httpd.service' and 'journalctl -xn' for details.

以下のような SELinux 拒否メッセージが記録されます。

setroubleshoot: SELinux is preventing the httpd (httpd_t) from binding to port 12345. For complete SELinux messages. run sealert -l f18bca99-db64-4c16-9719-1db89f0d8c77

SELinux で、httpd がポート 12345 をリッスンできるようにするには、以下のコマンドが必要です。
```
~]# semanage port -a -t http_port_t -p tcp 12345
```
httpd を再び起動し、新しいポートをリッスンしていることを確認します。
```
~]# systemctl start httpd.service
```
httpd が標準以外のポート（この例では TCP 12345）でリッスンできるように SELinux が設定されました。httpd はこのポートで正常に起動します。

httpd が TCP ポート 12345 でリッスンして通信していることを証明するには、以下のように、指定したポートへの telnet 接続を開き、HTTP GET コマンドを実行します。

~]# telnet localhost 12345
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
GET / HTTP/1.0

HTTP/1.1 200 OK
Date: Wed, 02 Dec 2009 14:36:34 GMT
Server: Apache/2.2.13 (Red Hat)
Accept-Ranges: bytes
Content-Length: 3985
Content-Type: text/html; charset=UTF-8
[...continues...]

^[14] 詳細は、System Administrator's Guide の The Apache HTTP Sever セクションを参照してください。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

第13章 Apache HTTP サーバー

13.1. Apache HTTP サーバーおよび SELinux