Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

17.2. タイプ

高度なプロセス分離を提供するために、SELinux Targeted ポリシーで使用される主要なパーミッション制御方法は Type Enforcement です。すべてのファイルとプロセスにはタイプのラベルが付いています。タイプはプロセスの SELinux ドメインを定義し、ファイルの SELinux タイプを定義します。SELinux ポリシールールは、タイプにアクセスするドメインであるか、別のドメインにアクセスするドメインであるかにかかわらず、タイプが相互にアクセスする方法を定義します。アクセスは、それを許可する特定の SELinux ポリシールールが存在する場合にのみ許可されます。
BIND では、以下のタイプが使用されます。異なるタイプを使用すると、柔軟なアクセスを設定できます。
named_zone_t
マスターゾーンファイルに使用されます。その他のサービスでは、このタイプのファイルを変更できません。named デーモンは、named_write_master_zones ブール値が有効になっている場合に限り、このタイプのファイルを変更できます。
named_cache_t
デフォルトでは、named は、このタイプのラベルが付いたファイルに書き込むことができます。ブール値は追加されません。/var/named/slaves/ ディレクトリー、/var/named/dynamic/ ディレクトリー、および /var/named/data/ ディレクトリーでコピーまたは作成されたファイルには、named_cache_t のタイプに応じて自動的にラベルが付けられます。
named_var_run_t
/var/run/bind/ ディレクトリー、/var/run/named/ ディレクトリー、および /var/run/unbound/ ディレクトリーでコピーまたは作成されたファイルには、named_var_run_t のタイプに応じて自動的にラベルが付けられます。
named_conf_t
BIND 関連の設定ファイルは、通常 /etc ディレクトリーに保存され、自動的に named_conf_t のタイプのラベルが付けられます。
named_exec_t
BIND 関連の実行ファイルは、通常 /usr/sbin/ ディレクトリーに保存され、自動的に named_exec_t タイプのラベルが付けられます。
named_log_t
BIND 関連のログファイルは、通常 /var/log/ ディレクトリーに保存され、自動的に named_log_t のタイプのラベルが付けられます。
named_unit_file_t
/usr/lib/systemd/system/ ディレクトリー内の実行可能な BIND 関連ファイルには、named_unit_file_t のタイプに応じて自動的にラベルが付けられます。