Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第4章 SELinux の使用

以下のセクションでは、Red Hat Enterprise Linux の主な SELinux パッケージの概要、パッケージのインストールと更新、使用するログファイル、主要な SELinux 設定ファイル、SELinux の有効化および無効化、SELinux モードの設定、ブール値の設定、ファイルとディレクトリーラベルの一時的および永続的な変更、mount コマンドでファイルシステムのラベルの上書き、NFS ボリュームのマウント、SELinux コンテキストの保存方法、ファイルとディレクトリーのコピー/アーカイブ時に SELinux コンテキストを保持する方法を説明します。

4.1. SELinux パッケージ

Red Hat Enterprise Linux のフルインストールでは、インストール中に手動で除外されていない限り、SELinux パッケージがデフォルトでインストールされます。テキストモードで最小インストールを実行する場合、policycoreutils-python および policycoreutils-gui パッケージはデフォルトではインストールされません。また、デフォルトでは SELinux は Enforcing モードで実行され、SELinux Targeted ポリシーが使用されます。以下の SELinux パッケージがデフォルトでシステムにインストールされている。
  • policycoreutils は、SELinux の運用および管理用に restoreconseconsetfilessemoduleload_policy、および setsebool などのユーティリティーを提供します。
  • selinux-policy は、 基本的なディレクトリー構造、selinux-policy.conf ファイル、RPM マクロを提供します。
  • selinux-policy-targeted は、SELinux の Targeted ポリシーを提供します。
  • libselinux - SELinux アプリケーションの API を提供します。
  • libselinux-utilsavcstatgetenforcegetseboolmatchpathconselinuxconlistselinuxdefconselinuxenabled、および setenforce ユーティリティーを提供します。
  • libselinux-python は、SELinux アプリケーションを開発するための Python バインディングを提供します。
以下のパッケージはデフォルトではインストールされていませんが、オプションで yum install <package-name> コマンドを実行してインストールできます。
  • selinux-policy-devel は、カスタムの SELinux ポリシーおよびポリシーモジュールを作成するユーティリティーを提供します。
  • selinux-policy-doc では、さまざまなサービスで SELinux を完全に設定する方法を説明する man ページを提供します。
  • selinux-policy-mls は、MLS(Multi-Level Security)SELinux ポリシーを提供します。
  • setroubleshoot-server は、SELinux がアクセスが拒否されたときに生成される拒否メッセージを、sealert ユーティリティーで表示できる詳細の説明 (このパッケージでも提供) に変換します。
  • setools-console は、Tresys Technology SETools ディストリビューション を提供します。これは、ポリシー、監査ログの監視とレポート、ファイルコンテキスト管理を分析およびクエリーするためのユーティリティーおよびライブラリーです。 setools パッケージは、SETools のメタパッケージです。setools-gui パッケージは、apol ユーティリティーおよび seaudit ユーティリティーを提供します。setools-console パッケージは、secheckersediffseinfosesearch および findcon コマンドラインユーティリティーを提供します。これらのユーティリティーの詳細は、Tresys Technology SETools ページを参照してください。setools および setools-gui パッケージは、Red Hat Network Optional チャンネルが有効にされている場合にのみ使用できることに注意してください。詳細は、Scope of Coverage Details を参照してください。
  • mcstrans は、s0-s0:c0.c1023 などのレベルを、SystemLow-SystemHigh などの読みやすい形式に変換します。
  • policycoreutils-python は、SELinux の操作および管理用に semanageaudit2allowaudit2whychcat などのユーティリティーを提供します。
  • policycoreutils-gui は、SELinux を管理するためのグラフィカルユーティリティーである system-config-selinux を提供します。