Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4.13.4. Polyinstantiated ディレクトリーの設定
/tmp ディレクトリーおよび /var/tmp/ ディレクトリーは、通常、すべてのプログラム、サービス、およびユーザーが一時的に保存するために使用されます。ただし、このような設定を行うと、競合状態攻撃や、ファイル名に基づく情報漏えいに対して脆弱になります。SELinux は、polyinstantiated ディレクトリーの形式でソリューションを提供します。これは、事実上、/tmp と /var/tmp/ の両方がインスタンス化され、各ユーザーに対して非公開になっていることを意味します。ディレクトリーのインスタンス化を有効にすると、各ユーザーの /tmp ディレクトリーおよび /var/tmp/ ディレクトリーが、/tmp-inst および /var/tmp/tmp-inst に自動的にマウントされます。
ディレクトリーのポリインスタンス化を有効にするには、以下の手順を行います。
手順4.21 ポリインスタンス化ディレクトリーの有効化
/etc/security/namespace.confファイルの最後の 3 行のコメントを解除して、/tmp、/var/tmp/、およびユーザーのホームディレクトリーのインスタンス化を有効にします。~]$tail -n 3 /etc/security/namespace.conf /tmp /tmp-inst/ level root,adm /var/tmp /var/tmp/tmp-inst/ level root,adm $HOME $HOME/$USER.inst/ level/etc/pam.d/loginファイルーで、pam_namespace.soモジュールが session 用に設定されていることを確認します。~]$grep namespace /etc/pam.d/login session required pam_namespace.so- システムを再起動します。
