SELinux ユーザーおよび管理者のガイド
I. SELinux
Expand section "I. SELinux" Collapse section "I. SELinux"
1. 1. はじめに
  Expand section "1. はじめに" Collapse section "1. はじめに"
2. 2. SELinux コンテキスト
  Expand section "2. SELinux コンテキスト" Collapse section "2. SELinux コンテキスト"
3. 3. Targeted ポリシー
  Expand section "3. Targeted ポリシー" Collapse section "3. Targeted ポリシー"
  1. 3.1. 制限のあるプロセス
  2. 3.2. 制限のないプロセス
  3. 3.3. 制限のあるユーザーおよび制限のないユーザー
    
    Expand section "3.3. 制限のあるユーザーおよび制限のないユーザー" Collapse section "3.3. 制限のあるユーザーおよび制限のないユーザー"
    
    3.3.1. sudo 移行および SELinux ロール
4. 4. SELinux の使用
  Expand section "4. SELinux の使用" Collapse section "4. SELinux の使用"
  1. 4.1. SELinux パッケージ
  2. 4.2. どのログファイルが使用されるか
  3. 4.3. 主要設定ファイル
  4. 4.4. SELinux のステータスおよびモードの永続的変更
    
    Expand section "4.4. SELinux のステータスおよびモードの永続的変更" Collapse section "4.4. SELinux のステータスおよびモードの永続的変更"
    
    4.4.1. SELinux の有効化
    
    Expand section "4.4.1. SELinux の有効化" Collapse section "4.4.1. SELinux の有効化"
    
    4.4.1.1. Permissive モードに設定する場合:
    
    4.4.1.2. Enforcing モードに設定する場合:
    
    4.4.2. SELinux の無効化
  5. 4.5. システムの起動時での SELinux モードの変更
  6. 4.6. ブール値
    
    Expand section "4.6. ブール値" Collapse section "4.6. ブール値"
    
    4.6.1. ブール値の一覧表示
    
    4.6.2. ブール値の設定
    
    4.6.3. シェル自動完了
  7. 4.7. SELinux コンテキスト - ファイルのラベル付け
    
    Expand section "4.7. SELinux コンテキスト - ファイルのラベル付け" Collapse section "4.7. SELinux コンテキスト - ファイルのラベル付け"
    
    4.7.1. 一時的な変更: chcon
    
    4.7.2. 永続的な変更 - semanage fcontext
    
    4.7.3. ファイルコンテキストの決定方法
  8. 4.8. file_t タイプおよび default_t タイプ
  9. 4.9. ファイルシステムのマウント
    
    Expand section "4.9. ファイルシステムのマウント" Collapse section "4.9. ファイルシステムのマウント"
    
    4.9.1. コンテキストマウント
    
    4.9.2. デフォルトコンテキストの変更
    
    4.9.3. NFS ボリュームのマウント
    
    4.9.4. 複数の NFS マウント
    
    4.9.5. コンテキストマウントの永続化
  10. 4.10. SELinux ラベルの維持
    
    Expand section "4.10. SELinux ラベルの維持" Collapse section "4.10. SELinux ラベルの維持"
    
    4.10.1. ファイルおよびディレクトリーのコピー
    
    4.10.2. ファイルとディレクトリーの移動
    
    4.10.3. デフォルトの SELinux コンテキストの確認
    
    4.10.4. tarによるファイルのアーカイブ
    
    4.10.5. starを使用したファイルのアーカイブ
  11. 4.11. 情報収集ツール
  12. 4.12. SELinux ポリシーモジュールの優先付けと無効化
  13. 4.13. Multi-Level Security (MLS)
    
    Expand section "4.13. Multi-Level Security (MLS)" Collapse section "4.13. Multi-Level Security (MLS)"
    
    4.13.1. MLS およびシステム権限
    
    4.13.2. SELinux での MLS の有効化
    
    4.13.3. 特定の MLS 範囲を持つユーザーの作成
    
    4.13.4. Polyinstantiated ディレクトリーの設定
  14. 4.14. ファイル名の推移
  15. 4.15. ptrace() の無効化
  16. 4.16. サムネイルの保護
5. 5. sepolicy スイート
  Expand section "5. sepolicy スイート" Collapse section "5. sepolicy スイート"
6. 6. ユーザーの制限
  Expand section "6. ユーザーの制限" Collapse section "6. ユーザーの制限"
7. 7. Sandbox を使用したプログラムの保護
  Expand section "7. Sandbox を使用したプログラムの保護" Collapse section "7. Sandbox を使用したプログラムの保護"
  1. 7.1. サンドボックスを使用したアプリケーションの実行
8. 8. sVirt
  Expand section "8. sVirt" Collapse section "8. sVirt"
  1. 8.1. セキュリティーおよび仮想化
  2. 8.2. sVirt のラベル付け
9. 9. セキュアな Linux コンテナー
10. 10. SELinux systemd のアクセス制御
  Expand section "10. SELinux systemd のアクセス制御" Collapse section "10. SELinux systemd のアクセス制御"
  1. 10.1. サービスへの SELinux のアクセス権限
  2. 10.2. SELinux と journald
11. 11. トラブルシューティング
  Expand section "11. トラブルシューティング" Collapse section "11. トラブルシューティング"
  1. 11.1. アクセスが拒否された場合の動作
  2. 11.2. 問題の上位 3 つの原因
    
    Expand section "11.2. 問題の上位 3 つの原因" Collapse section "11.2. 問題の上位 3 つの原因"
    
    11.2.1. ラベル付けの問題
    
    Expand section "11.2.1. ラベル付けの問題" Collapse section "11.2.1. ラベル付けの問題"
    
    11.2.1.1. 正しいコンテキストとは?
    
    11.2.2. 制限のあるサービスの実行方法
    
    11.2.3. ルールの進化とアプリケーションの破損
  3. 11.3. 問題の修正
    
    Expand section "11.3. 問題の修正" Collapse section "11.3. 問題の修正"
    
    11.3.1. Linux の権限
    
    11.3.2. サイレント拒否の考えられる原因
    
    11.3.3. サービスの man ページ
    
    11.3.4. Permissive ドメイン
    
    Expand section "11.3.4. Permissive ドメイン" Collapse section "11.3.4. Permissive ドメイン"
    
    11.3.4.1. ドメインを Permissive にする
    
    11.3.4.2. Permissive ドメインの無効化
    
    11.3.4.3. Permissive ドメインの拒否
    
    11.3.5. 拒否の検索と表示
    
    11.3.6. Raw 監査メッセージ
    
    11.3.7. sealert メッセージ
    
    11.3.8. アクセスの許可: audit2allow
12. 12. 追加情報
  Expand section "12. 追加情報" Collapse section "12. 追加情報"
  1. 12.1. コントリビューター
  2. 12.2. その他リソース
II. 制限のあるサービスの管理
Expand section "II. 制限のあるサービスの管理" Collapse section "II. 制限のあるサービスの管理"
1. 13. Apache HTTP サーバー
  Expand section "13. Apache HTTP サーバー" Collapse section "13. Apache HTTP サーバー"
  1. 13.1. Apache HTTP サーバーおよび SELinux
  2. 13.2. タイプ
  3. 13.3. ブール値
  4. 13.4. 設定例
    
    Expand section "13.4. 設定例" Collapse section "13.4. 設定例"
    
    13.4.1. 静的サイトの実行
    
    13.4.2. NFS および CIFS ボリュームの共有
    
    13.4.3. サービス間でのファイルの共有
    
    13.4.4. ポート番号の変更
2. 14. Samba
  Expand section "14. Samba" Collapse section "14. Samba"
  1. 14.1. Samba と SELinux
  2. 14.2. タイプ
  3. 14.3. ブール値
  4. 14.4. 設定例
    
    Expand section "14.4. 設定例" Collapse section "14.4. 設定例"
    
    14.4.1. 作成したディレクトリーの共有
    
    14.4.2. Web サイトの共有
3. 15. ファイル転送プロトコル
  Expand section "15. ファイル転送プロトコル" Collapse section "15. ファイル転送プロトコル"
  1. 15.1. タイプ
  2. 15.2. ブール値
4. 16. ネットワークファイルシステム
  Expand section "16. ネットワークファイルシステム" Collapse section "16. ネットワークファイルシステム"
  1. 16.1. NFS と SELinux
  2. 16.2. タイプ
  3. 16.3. ブール値
  4. 16.4. 設定の例
    
    Expand section "16.4. 設定の例" Collapse section "16.4. 設定の例"
    
    16.4.1. SELinux ラベル付き NFS のサポートの有効化
5. 17. BIND (Berkeley Internet Name Domain)
  Expand section "17. BIND (Berkeley Internet Name Domain)" Collapse section "17. BIND (Berkeley Internet Name Domain)"
  1. 17.1. BIND および SELinux
  2. 17.2. タイプ
  3. 17.3. ブール値
  4. 17.4. 設定の例
    
    Expand section "17.4. 設定の例" Collapse section "17.4. 設定の例"
    
    17.4.1. 動的 DNS
6. 18. 同時バージョン管理システム
  Expand section "18. 同時バージョン管理システム" Collapse section "18. 同時バージョン管理システム"
  1. 18.1. CVS と SELinux
  2. 18.2. タイプ
  3. 18.3. ブール値
  4. 18.4. 設定の例
    
    Expand section "18.4. 設定の例" Collapse section "18.4. 設定の例"
    
    18.4.1. CDK の設定
7. 19. Squid キャッシングプロキシー
  Expand section "19. Squid キャッシングプロキシー" Collapse section "19. Squid キャッシングプロキシー"
  1. 19.1. Squid キャッシングプロキシーおよび SELinux
  2. 19.2. タイプ
  3. 19.3. ブール値
  4. 19.4. 設定の例
    
    Expand section "19.4. 設定の例" Collapse section "19.4. 設定の例"
    
    19.4.1. 標準以外のポートへの Squid 接続
8. 20. MariaDB (MySQL の代替)
  Expand section "20. MariaDB (MySQL の代替)" Collapse section "20. MariaDB (MySQL の代替)"
  1. 20.1. MariaDB と SELinux
  2. 20.2. タイプ
  3. 20.3. ブール値
  4. 20.4. 設定の例
    
    Expand section "20.4. 設定の例" Collapse section "20.4. 設定の例"
    
    20.4.1. MariaDB によるデータベースの場所の変更
9. 21. PostgreSQL
  Expand section "21. PostgreSQL" Collapse section "21. PostgreSQL"
  1. 21.1. PostgreSQL および SELinux
  2. 21.2. タイプ
  3. 21.3. ブール値
  4. 21.4. 設定の例
    
    Expand section "21.4. 設定の例" Collapse section "21.4. 設定の例"
    
    21.4.1. PostgreSQL データベースの場所の変更
10. 22. rsync
  Expand section "22. rsync" Collapse section "22. rsync"
  1. 22.1. rsync およびSELinux
  2. 22.2. タイプ
  3. 22.3. ブール値
  4. 22.4. 設定の例
    
    Expand section "22.4. 設定の例" Collapse section "22.4. 設定の例"
    
    22.4.1. デーモンとしての Rsync
11. 23. postfix
  Expand section "23. postfix" Collapse section "23. postfix"
  1. 23.1. Postfix および SELinux
  2. 23.2. タイプ
  3. 23.3. ブール値
  4. 23.4. 設定の例
    
    Expand section "23.4. 設定の例" Collapse section "23.4. 設定の例"
    
    23.4.1. SpamAssassin および Postfix
12. 24. DHCP
  Expand section "24. DHCP" Collapse section "24. DHCP"
  1. 24.1. DHCP および SELinux
  2. 24.2. タイプ
13. 25. OpenShift by Red Hat
  Expand section "25. OpenShift by Red Hat" Collapse section "25. OpenShift by Red Hat"
  1. 25.1. OpenShift および SELinux
  2. 25.2. タイプ
  3. 25.3. ブール値
  4. 25.4. 設定の例
    
    Expand section "25.4. 設定の例" Collapse section "25.4. 設定の例"
    
    25.4.1. デフォルトの OpenShift ディレクトリーの変更
14. 26. ID 管理
  Expand section "26. ID 管理" Collapse section "26. ID 管理"
  1. 26.1. ID 管理と SELinux
    
    Expand section "26.1. ID 管理と SELinux" Collapse section "26.1. ID 管理と SELinux"
    
    26.1.1. Active Directory ドメインへの信頼
  2. 26.2. 設定の例
    
    Expand section "26.2. 設定の例" Collapse section "26.2. 設定の例"
    
    26.2.1. IdM ユーザーへの SELinux ユーザーのマッピング
15. 27. Red Hat Gluster Storage
  Expand section "27. Red Hat Gluster Storage" Collapse section "27. Red Hat Gluster Storage"
  1. 27.1. Red Hat Gluster Storage および SELinux
  2. 27.2. タイプ
  3. 27.3. ブール値
  4. 27.4. 設定の例
    
    Expand section "27.4. 設定の例" Collapse section "27.4. 設定の例"
    
    27.4.1. Gluster ブリックのラベル付け
16. 28. 参考資料
A. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

14.3. ブール値

SELinux は、サービスの実行に必要な最小アクセスレベルに基づいています。サービスはさまざまな方法で実行できます。そのため、サービスの実行方法を指定する必要があります。以下のブール値を使用して SELinux を設定します。

smbd_anon_write: このブール値を有効にすると、smbd は、特殊なアクセス制限がない一般的なファイル用に予約されている領域など、公開ディレクトリーに書き込むことができます。
samba_create_home_dirs: ブール値を有効にすると、Samba は新しいホームディレクトリーを個別に作成できます。これは、PAM などのメカニズムにより行われることが多いです。
samba_domain_controller: これを有効にすると、ブール値により、Samba がドメインコントローラーとして機能し、useradd、groupadd、passwd などの関連コマンドを実行するパーミッションを得ることができます。
samba_enable_home_dirs: このブール値を有効にすると、Samba はユーザーのホームディレクトリーを共有できます。
samba_export_all_ro: ファイルまたはディレクトリーをエクスポートし、読み取り専用の権限を付与します。これにより、samba_share_t タイプのラベルが付いていないファイルおよびディレクトリーを、Samba で共有できます。samba_export_all_ro ブール値が有効であっても、samba_export_all_rw のブール値が無効になっていると、/etc/samba/smb.conf で書き込みアクセスが設定されていても、Samba 共有への書き込みアクセスは拒否されます。また、書き込みアクセスを許可している Linux パーミッションも拒否されます。
samba_export_all_rw: ファイルまたはディレクトリーをエクスポートして、読み取りおよび書き込みのパーミッションを許可します。これにより、samba_share_t タイプのラベルが付いていないファイルおよびディレクトリーを、Samba からエクスポートできます。書き込みアクセスを許可するには、/etc/samba/smb.conf および Linux のパーミッションを設定する必要があります。
samba_run_unconfined: ブール値を有効にすると、/var/lib/samba/scripts/ ディレクトリーで、Samba が定義されていないスクリプトを実行できるようになります。
samba_share_fusefs: Samba が fusefs ファイルシステムを共有するには、このブール値を有効にする必要があります。
samba_share_nfs: このブール値を無効にすると、smbd は Samba を介して NFS 共有に完全にアクセスできなくなります。このブール値を有効にすると、Samba は NFS ボリュームを共有できるようになります。
use_samba_home_dirs: Samba ホームディレクトリーにリモートサーバーを使用する場合は、このブール値を有効にします。
virt_use_samba: 仮想マシンによる CIFS ファイルへのアクセスを許可します。

注記

SELinux ポリシーは継続的に開発されているため、上記のリストには、サービスに関連するすべてのブール値が常に含まれているとは限りません。これらを一覧表示するには、以下のコマンドを入力します。

~]$ getsebool -a | grep service_name

特定のブール値の説明を表示するには、以下のコマンドを実行します。

~]$ sepolicy booleans -b boolean_name

このコマンドが機能するには、sepolicy ユーティリティーを提供する追加の policycoreutils-devel パッケージが必要であることに注意してください。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

14.3. ブール値