14.3. ブール値

SELinux は、サービスの実行に必要な最小限レベルのアクセスに基づいています。サービスの実行手段は複数あるため、サービスの実行方法を指定する必要があります。以下のブール値を使用して SELinux を設定します。
smbd_anon_write
このブール値を有効にすると、特別なアクセス制限がなく共通ファイル用に予約されている領域などのパブリックディレクトリーに smbd が書き込めるようになります。
samba_create_home_dirs
このブール値を有効にすると、Samba が単独で新規のホームディレクトリーを作成できるようになります。これは、PAM などのメカニズムで実行されることが多くあります。
samba_domain_controller
このブール値を有効にすると、Samba がドメインコントローラーとして機能するとともに、useraddgroupaddpasswd などの関連コマンドの実行パーミッションを付与することになります。
samba_enable_home_dirs
このブール値を有効にすると、Samba がユーザーのホームディレクトリーを共有できるようになります。
samba_export_all_ro
あらゆるファイルやディレクトリーをエクスポートし、読み取り専用のパーミッションを付与します。これにより、samba_share_t タイプのラベルが付いていないファイルやディレクトリーを Samba で共有できるようになります。samba_export_all_ro ブール値が有効になっていて samba_export_all_rw ブール値が無効の場合、/etc/samba/smb.conf で書き込みアクセスが設定され Linux パーミッションでも書き込みアクセスが許可されていても、Samba 共有への書き込みアクセスは拒否されます。
samba_export_all_rw
あらゆるファイルやディレクトリーをエクスポートし、読み取りと書き込みのパーミッションを付与します。これにより、samba_share_t タイプのラベルが付いていないファイルやディレクトリーを Samba でエクスポートできるようになります。/etc/samba/smb.conf のパーミッションおよび Linux パーミッションで書き込みアクセスを許可する設定にする必要があります。
samba_run_unconfined
このブール値を有効にすると、Samba が /var/lib/samba/scripts/ ディレクトリー内で制限のないスクリプトを実行できるようになります。
samba_share_fusefs
Samba が fusefs ファイルシステムを共有する場合は、このブール値を有効にする必要があります。
samba_share_nfs
このブール値を無効にすると、smbd が Samba 経由で NFS 共有に完全アクセスできなくなります。このブール値を有効にすると、Samba が NFS ボリュームを共有できるようになります。
use_samba_home_dirs
Samba のホームディレクトリー用にリモートサーバーを使用する場合、このブール値を有効にします。
virt_use_samba
仮想マシンによる CIFS ファイルへのアクセスを許可します。

注記

SELinux ポリシーは継続的に開発されているため、上記のリストでは常にこのサービスに関連するブール値がすべて含まれているとは限りません。これらを一覧表示するには、以下のコマンドを実行します。 
~]$ getsebool -a | grep service_name
特定のブール値の記述を表示するには、以下のコマンドを実行します。 
~]$ sepolicy booleans -b boolean_name
このコマンドが機能するには、sepolicy ユーティリティーを提供する policycoreutils-devel パッケージが追加で必要になることに留意してください。