SELinux ユーザーおよび管理者のガイド
I. SELinux
Expand section "I. SELinux" Collapse section "I. SELinux"
1. 1. はじめに
  Expand section "1. はじめに" Collapse section "1. はじめに"
2. 2. SELinux コンテキスト
  Expand section "2. SELinux コンテキスト" Collapse section "2. SELinux コンテキスト"
3. 3. Targeted ポリシー
  Expand section "3. Targeted ポリシー" Collapse section "3. Targeted ポリシー"
  1. 3.1. 制限のあるプロセス
  2. 3.2. 制限のないプロセス
  3. 3.3. 制限のあるユーザーおよび制限のないユーザー
    
    Expand section "3.3. 制限のあるユーザーおよび制限のないユーザー" Collapse section "3.3. 制限のあるユーザーおよび制限のないユーザー"
    
    3.3.1. sudo 移行および SELinux ロール
4. 4. SELinux の使用
  Expand section "4. SELinux の使用" Collapse section "4. SELinux の使用"
  1. 4.1. SELinux パッケージ
  2. 4.2. どのログファイルが使用されるか
  3. 4.3. 主要設定ファイル
  4. 4.4. SELinux のステータスおよびモードの永続的変更
    
    Expand section "4.4. SELinux のステータスおよびモードの永続的変更" Collapse section "4.4. SELinux のステータスおよびモードの永続的変更"
    
    4.4.1. SELinux の有効化
    
    Expand section "4.4.1. SELinux の有効化" Collapse section "4.4.1. SELinux の有効化"
    
    4.4.1.1. Permissive モードに設定する場合:
    
    4.4.1.2. Enforcing モードに設定する場合:
    
    4.4.2. SELinux の無効化
  5. 4.5. システムの起動時での SELinux モードの変更
  6. 4.6. ブール値
    
    Expand section "4.6. ブール値" Collapse section "4.6. ブール値"
    
    4.6.1. ブール値の一覧表示
    
    4.6.2. ブール値の設定
    
    4.6.3. シェル自動完了
  7. 4.7. SELinux コンテキスト - ファイルのラベル付け
    
    Expand section "4.7. SELinux コンテキスト - ファイルのラベル付け" Collapse section "4.7. SELinux コンテキスト - ファイルのラベル付け"
    
    4.7.1. 一時的な変更: chcon
    
    4.7.2. 永続的な変更 - semanage fcontext
    
    4.7.3. ファイルコンテキストの決定方法
  8. 4.8. file_t タイプおよび default_t タイプ
  9. 4.9. ファイルシステムのマウント
    
    Expand section "4.9. ファイルシステムのマウント" Collapse section "4.9. ファイルシステムのマウント"
    
    4.9.1. コンテキストマウント
    
    4.9.2. デフォルトコンテキストの変更
    
    4.9.3. NFS ボリュームのマウント
    
    4.9.4. 複数の NFS マウント
    
    4.9.5. コンテキストマウントの永続化
  10. 4.10. SELinux ラベルの維持
    
    Expand section "4.10. SELinux ラベルの維持" Collapse section "4.10. SELinux ラベルの維持"
    
    4.10.1. ファイルおよびディレクトリーのコピー
    
    4.10.2. ファイルとディレクトリーの移動
    
    4.10.3. デフォルトの SELinux コンテキストの確認
    
    4.10.4. tarによるファイルのアーカイブ
    
    4.10.5. starを使用したファイルのアーカイブ
  11. 4.11. 情報収集ツール
  12. 4.12. SELinux ポリシーモジュールの優先付けと無効化
  13. 4.13. Multi-Level Security (MLS)
    
    Expand section "4.13. Multi-Level Security (MLS)" Collapse section "4.13. Multi-Level Security (MLS)"
    
    4.13.1. MLS およびシステム権限
    
    4.13.2. SELinux での MLS の有効化
    
    4.13.3. 特定の MLS 範囲を持つユーザーの作成
    
    4.13.4. Polyinstantiated ディレクトリーの設定
  14. 4.14. ファイル名の推移
  15. 4.15. ptrace() の無効化
  16. 4.16. サムネイルの保護
5. 5. sepolicy スイート
  Expand section "5. sepolicy スイート" Collapse section "5. sepolicy スイート"
6. 6. ユーザーの制限
  Expand section "6. ユーザーの制限" Collapse section "6. ユーザーの制限"
7. 7. Sandbox を使用したプログラムの保護
  Expand section "7. Sandbox を使用したプログラムの保護" Collapse section "7. Sandbox を使用したプログラムの保護"
  1. 7.1. サンドボックスを使用したアプリケーションの実行
8. 8. sVirt
  Expand section "8. sVirt" Collapse section "8. sVirt"
  1. 8.1. セキュリティーおよび仮想化
  2. 8.2. sVirt のラベル付け
9. 9. セキュアな Linux コンテナー
10. 10. SELinux systemd のアクセス制御
  Expand section "10. SELinux systemd のアクセス制御" Collapse section "10. SELinux systemd のアクセス制御"
  1. 10.1. サービスへの SELinux のアクセス権限
  2. 10.2. SELinux と journald
11. 11. トラブルシューティング
  Expand section "11. トラブルシューティング" Collapse section "11. トラブルシューティング"
  1. 11.1. アクセスが拒否された場合の動作
  2. 11.2. 問題の上位 3 つの原因
    
    Expand section "11.2. 問題の上位 3 つの原因" Collapse section "11.2. 問題の上位 3 つの原因"
    
    11.2.1. ラベル付けの問題
    
    Expand section "11.2.1. ラベル付けの問題" Collapse section "11.2.1. ラベル付けの問題"
    
    11.2.1.1. 正しいコンテキストとは?
    
    11.2.2. 制限のあるサービスの実行方法
    
    11.2.3. ルールの進化とアプリケーションの破損
  3. 11.3. 問題の修正
    
    Expand section "11.3. 問題の修正" Collapse section "11.3. 問題の修正"
    
    11.3.1. Linux の権限
    
    11.3.2. サイレント拒否の考えられる原因
    
    11.3.3. サービスの man ページ
    
    11.3.4. Permissive ドメイン
    
    Expand section "11.3.4. Permissive ドメイン" Collapse section "11.3.4. Permissive ドメイン"
    
    11.3.4.1. ドメインを Permissive にする
    
    11.3.4.2. Permissive ドメインの無効化
    
    11.3.4.3. Permissive ドメインの拒否
    
    11.3.5. 拒否の検索と表示
    
    11.3.6. Raw 監査メッセージ
    
    11.3.7. sealert メッセージ
    
    11.3.8. アクセスの許可: audit2allow
12. 12. 追加情報
  Expand section "12. 追加情報" Collapse section "12. 追加情報"
  1. 12.1. コントリビューター
  2. 12.2. その他リソース
II. 制限のあるサービスの管理
Expand section "II. 制限のあるサービスの管理" Collapse section "II. 制限のあるサービスの管理"
1. 13. Apache HTTP サーバー
  Expand section "13. Apache HTTP サーバー" Collapse section "13. Apache HTTP サーバー"
  1. 13.1. Apache HTTP サーバーおよび SELinux
  2. 13.2. タイプ
  3. 13.3. ブール値
  4. 13.4. 設定例
    
    Expand section "13.4. 設定例" Collapse section "13.4. 設定例"
    
    13.4.1. 静的サイトの実行
    
    13.4.2. NFS および CIFS ボリュームの共有
    
    13.4.3. サービス間でのファイルの共有
    
    13.4.4. ポート番号の変更
2. 14. Samba
  Expand section "14. Samba" Collapse section "14. Samba"
  1. 14.1. Samba と SELinux
  2. 14.2. タイプ
  3. 14.3. ブール値
  4. 14.4. 設定例
    
    Expand section "14.4. 設定例" Collapse section "14.4. 設定例"
    
    14.4.1. 作成したディレクトリーの共有
    
    14.4.2. Web サイトの共有
3. 15. ファイル転送プロトコル
  Expand section "15. ファイル転送プロトコル" Collapse section "15. ファイル転送プロトコル"
  1. 15.1. タイプ
  2. 15.2. ブール値
4. 16. ネットワークファイルシステム
  Expand section "16. ネットワークファイルシステム" Collapse section "16. ネットワークファイルシステム"
  1. 16.1. NFS と SELinux
  2. 16.2. タイプ
  3. 16.3. ブール値
  4. 16.4. 設定の例
    
    Expand section "16.4. 設定の例" Collapse section "16.4. 設定の例"
    
    16.4.1. SELinux ラベル付き NFS のサポートの有効化
5. 17. BIND (Berkeley Internet Name Domain)
  Expand section "17. BIND (Berkeley Internet Name Domain)" Collapse section "17. BIND (Berkeley Internet Name Domain)"
  1. 17.1. BIND および SELinux
  2. 17.2. タイプ
  3. 17.3. ブール値
  4. 17.4. 設定の例
    
    Expand section "17.4. 設定の例" Collapse section "17.4. 設定の例"
    
    17.4.1. 動的 DNS
6. 18. 同時バージョン管理システム
  Expand section "18. 同時バージョン管理システム" Collapse section "18. 同時バージョン管理システム"
  1. 18.1. CVS と SELinux
  2. 18.2. タイプ
  3. 18.3. ブール値
  4. 18.4. 設定の例
    
    Expand section "18.4. 設定の例" Collapse section "18.4. 設定の例"
    
    18.4.1. CDK の設定
7. 19. Squid キャッシングプロキシー
  Expand section "19. Squid キャッシングプロキシー" Collapse section "19. Squid キャッシングプロキシー"
  1. 19.1. Squid キャッシングプロキシーおよび SELinux
  2. 19.2. タイプ
  3. 19.3. ブール値
  4. 19.4. 設定の例
    
    Expand section "19.4. 設定の例" Collapse section "19.4. 設定の例"
    
    19.4.1. 標準以外のポートへの Squid 接続
8. 20. MariaDB (MySQL の代替)
  Expand section "20. MariaDB (MySQL の代替)" Collapse section "20. MariaDB (MySQL の代替)"
  1. 20.1. MariaDB と SELinux
  2. 20.2. タイプ
  3. 20.3. ブール値
  4. 20.4. 設定の例
    
    Expand section "20.4. 設定の例" Collapse section "20.4. 設定の例"
    
    20.4.1. MariaDB によるデータベースの場所の変更
9. 21. PostgreSQL
  Expand section "21. PostgreSQL" Collapse section "21. PostgreSQL"
  1. 21.1. PostgreSQL および SELinux
  2. 21.2. タイプ
  3. 21.3. ブール値
  4. 21.4. 設定の例
    
    Expand section "21.4. 設定の例" Collapse section "21.4. 設定の例"
    
    21.4.1. PostgreSQL データベースの場所の変更
10. 22. rsync
  Expand section "22. rsync" Collapse section "22. rsync"
  1. 22.1. rsync およびSELinux
  2. 22.2. タイプ
  3. 22.3. ブール値
  4. 22.4. 設定の例
    
    Expand section "22.4. 設定の例" Collapse section "22.4. 設定の例"
    
    22.4.1. デーモンとしての Rsync
11. 23. postfix
  Expand section "23. postfix" Collapse section "23. postfix"
  1. 23.1. Postfix および SELinux
  2. 23.2. タイプ
  3. 23.3. ブール値
  4. 23.4. 設定の例
    
    Expand section "23.4. 設定の例" Collapse section "23.4. 設定の例"
    
    23.4.1. SpamAssassin および Postfix
12. 24. DHCP
  Expand section "24. DHCP" Collapse section "24. DHCP"
  1. 24.1. DHCP および SELinux
  2. 24.2. タイプ
13. 25. OpenShift by Red Hat
  Expand section "25. OpenShift by Red Hat" Collapse section "25. OpenShift by Red Hat"
  1. 25.1. OpenShift および SELinux
  2. 25.2. タイプ
  3. 25.3. ブール値
  4. 25.4. 設定の例
    
    Expand section "25.4. 設定の例" Collapse section "25.4. 設定の例"
    
    25.4.1. デフォルトの OpenShift ディレクトリーの変更
14. 26. ID 管理
  Expand section "26. ID 管理" Collapse section "26. ID 管理"
  1. 26.1. ID 管理と SELinux
    
    Expand section "26.1. ID 管理と SELinux" Collapse section "26.1. ID 管理と SELinux"
    
    26.1.1. Active Directory ドメインへの信頼
  2. 26.2. 設定の例
    
    Expand section "26.2. 設定の例" Collapse section "26.2. 設定の例"
    
    26.2.1. IdM ユーザーへの SELinux ユーザーのマッピング
15. 27. Red Hat Gluster Storage
  Expand section "27. Red Hat Gluster Storage" Collapse section "27. Red Hat Gluster Storage"
  1. 27.1. Red Hat Gluster Storage および SELinux
  2. 27.2. タイプ
  3. 27.3. ブール値
  4. 27.4. 設定の例
    
    Expand section "27.4. 設定の例" Collapse section "27.4. 設定の例"
    
    27.4.1. Gluster ブリックのラベル付け
16. 28. 参考資料
A. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

20.4. 設定の例

20.4.1. MariaDB によるデータベースの場所の変更

Red Hat Enterprise Linux を使用する場合、MariaDB がデータベースを保存するデフォルトの場所は /var/lib/mysql/ です。ここでは、SELinux がデフォルトであると想定している場所であるため、mysqld_db_t タイプを使用して、この領域はすでに適切にラベル付けされています。

データベースの保存場所は、個々の環境の要件や設定により変更できますが、SELinux は、この新しい場所を認識しており、それに応じてラベルが付けられていることが重要です。この例では、MariaDB データベースの場所を変更し、その内容に基づいて SELinux の保護メカニズムを新しい領域に引き続き提供できるように、新しい場所にラベルを付ける方法を説明します。

これは単なる例で、SELinux が MariaDB に与える影響を示していることに注意してください。MariaDB の包括的なドキュメントは、このドキュメントの範囲外です。詳細は、公式の MariaDB のドキュメントを参照してください。この例では、mariadb-server パッケージおよび setroubleshoot-server パッケージがインストールされていること、auditd サービスが実行中であること、および /var/lib/mysql/ のデフォルトの場所に有効なデータベースがあることを前提としています。

mysql のデフォルトのデータベースの場所の SELinux コンテキストを表示します。
```
~]# ls -lZ /var/lib/mysql
drwx------. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql
```
これは、データベースファイルの場所のデフォルトのコンテキスト要素であるmysqld_db_t を示しています。このコンテキストを適切に機能させるために、この例で使用される新しいデータベースの場所に、手動で適用する必要があります。

次のコマンドを入力し、mysqld root パスワードを入力して、利用可能なデータベースを表示します。

~]# mysqlshow -u root -p
Enter password: *******
+--------------------+
|     Databases      |
+--------------------+
| information_schema |
| mysql              |
| test               |
| wikidb             |
+--------------------+

mysqld デーモンを停止します。
```
~]# systemctl stop mariadb.service
```
データベースの新しい場所に、新しいディレクトリーを作成します。この例では、/mysql/ が使用されています。
```
~]# mkdir -p /mysql
```
古い場所から新しい場所に、データベースファイルをコピーします。
```
~]# cp -R /var/lib/mysql/* /mysql/
```
mysql ユーザーおよびグループによるアクセスを許可するように、この場所の所有権を変更します。これにより、SELinux が引き続き監視する従来の Unix パーミッションが設定されます。
```
~]# chown -R mysql:mysql /mysql
```
以下のコマンドを実行すると、作成したディレクトリーの初期コンテキストが表示されます。
```
~]# ls -lZ /mysql
drwxr-xr-x. mysql mysql unconfined_u:object_r:usr_t:s0   mysql
```
新しく作成されたこのディレクトリーのコンテキストusr_t は、現在、MariaDB データベースファイルの場所として SELinux には適していません。コンテキストを変更すると、MariaDB はこのエリアで適切に機能できるようになります。
テキストエディターで、MariaDB のメイン設定ファイル/etc/my.cnfを開き、新しい場所を参照できるように datadir オプションを変更します。この例で入力する必要のある値は、/mysql です。
```
[mysqld]
datadir=/mysql
```
このファイルを保存して終了します。
mysqldを起動します。サービスの起動に失敗し、拒否メッセージが/var/log/messages ファイルに記録されます。
```
~]# systemctl start mariadb.service
Job for mariadb.service failed. See 'systemctl status postgresql.service' and 'journalctl -xn' for details.
```
ただし、audit デーモンが setroubleshoot とともに実行されている場合は、拒否のログが /var/log/audit/audit.log に記録されます。
```
SELinux is preventing /usr/libexec/mysqld "write" access on /mysql. For complete SELinux messages. run sealert -l b3f01aff-7fa6-4ebe-ad46-abaef6f8ad71
```
この拒否の理由は、MariaDB データファイルに対して /mysql/ が正しくラベル付けされていないことです。SELinux により、MariaDB が usr_t とラベル付けされたコンテンツにアクセスできなくなりました。この問題を解決するには、以下の手順を実行します。
以下のコマンドを入力して、/mysql/ のコンテキストマッピングを追加します。semanage ユーティリティーは、デフォルトではインストールされないことに注意してください。同梱されていない場合は、policycoreutils-python をインストールしてください。
```
~]# semanage fcontext -a -t mysqld_db_t "/mysql(/.*)?"
```

このマッピングは、/etc/selinux/targeted/contexts/files/file_contexts.local ファイルに書き込まれます。

~]# grep -i mysql /etc/selinux/targeted/contexts/files/file_contexts.local

/mysql(/.*)?    system_u:object_r:mysqld_db_t:s0

これで restorecon ユーティリティーを使用して、このコンテキストマッピングを実行中のシステムに適用します。
```
~]# restorecon -R -v /mysql
```
/mysql/ の場所には MariaDB の正しいコンテキストでラベル付けされ、mysqld が起動します。
```
~]# systemctl start mariadb.service
```

/mysql/ に対してコンテキストが変更されたことを確認します。

~]$ ls -lZ /mysql
drwxr-xr-x. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql

この場所が変更され、ラベルが付けられ、mysqld が正常に起動されました。この時点で、実行中のすべてのサービスをテストして、通常の操作を確認してください。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

20.4. 設定の例

20.4.1. MariaDB によるデータベースの場所の変更