Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
17.2. タイプ
高度なプロセス分離を提供するために、SELinux Targeted ポリシーで使用される主要なパーミッション制御方法は Type Enforcement です。すべてのファイルとプロセスにはタイプのラベルが付いています。タイプはプロセスの SELinux ドメインを定義し、ファイルの SELinux タイプを定義します。SELinux ポリシールールは、タイプにアクセスするドメインであるか、別のドメインにアクセスするドメインであるかにかかわらず、タイプが相互にアクセスする方法を定義します。アクセスは、それを許可する特定の SELinux ポリシールールが存在する場合にのみ許可されます。
BIND では、以下のタイプが使用されます。異なるタイプを使用すると、柔軟なアクセスを設定できます。
named_zone_t- マスターゾーンファイルに使用されます。その他のサービスでは、このタイプのファイルを変更できません。
namedデーモンは、named_write_master_zonesブール値が有効になっている場合に限り、このタイプのファイルを変更できます。 named_cache_t- デフォルトでは、
namedは、このタイプのラベルが付いたファイルに書き込むことができます。ブール値は追加されません。/var/named/slaves/ディレクトリー、/var/named/dynamic/ディレクトリー、および/var/named/data/ディレクトリーでコピーまたは作成されたファイルには、named_cache_tのタイプに応じて自動的にラベルが付けられます。 named_var_run_t/var/run/bind/ディレクトリー、/var/run/named/ディレクトリー、および/var/run/unbound/ディレクトリーでコピーまたは作成されたファイルには、named_var_run_tのタイプに応じて自動的にラベルが付けられます。named_conf_t- BIND 関連の設定ファイルは、通常
/etcディレクトリーに保存され、自動的にnamed_conf_tのタイプのラベルが付けられます。 named_exec_t- BIND 関連の実行ファイルは、通常
/usr/sbin/ディレクトリーに保存され、自動的にnamed_exec_tタイプのラベルが付けられます。 named_log_t- BIND 関連のログファイルは、通常
/var/log/ディレクトリーに保存され、自動的にnamed_log_tのタイプのラベルが付けられます。 named_unit_file_t/usr/lib/systemd/system/ディレクトリー内の実行可能な BIND 関連ファイルには、named_unit_file_tのタイプに応じて自動的にラベルが付けられます。