Show Table of Contents
Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
14.3. ブール値
SELinux は、サービスの実行に必要な最低限のアクセスに基づいています。サービスはさまざまな方法で実行できます。したがって、サービスの実行方法を指定する必要があります。これは、SELinux ポリシーの記述に関する知識なしに、ランタイム時に SELinux ポリシーの一部を変更できるようにするブール値を使用して実現できます。これにより、SELinux ポリシーのリロードや再コンパイルを行わずに、サービスが NFS ボリュームにアクセスするのを許可するなどの変更が可能になります。
ブール値の状態を変更するには、setsebool コマンドを使用します。たとえば、
httpd_anon_write ブール値を有効にするには、root ユーザーとして以下のコマンドを入力します。
~]# setsebool -P httpd_anon_write on
同じ例を使用してブール値を無効にするには、以下のようにコマンドで off に変更します。
~]# setsebool -P httpd_anon_write off注記
setsebool の変更が再起動後も維持する必要がない場合は、-
P オプションを使用しないでください。
以下は、
httpd の実行方法に cater で使用できる一般的なブール値の説明です。
httpd_anon_write- このブール値により、
httpdはpublic_content_rw_tタイプのラベルが付いたファイルの読み取りのみが許可されます。このブール値を有効にすると、httpdはパブリックファイル転送サービスのファイルを含むパブリックディレクトリーなどのpublic_content_rw_tタイプのラベルが付いたファイルに書き込むことができます。 httpd_mod_auth_ntlm_winbind- このブール値を有効にすると、httpd の
mod_auth_ntlm_winbindモジュールを使用して、NTLM および Winbind 認証メカニズムにアクセスできます。 httpd_mod_auth_pam- このブール値を有効にすると、httpd で
mod_auth_pamモジュールを使用して PAM 認証メカニズムにアクセスできます。 httpd_sys_script_anon_write- このブール値は、HTTP スクリプトが、パブリックファイル転送サービスで使用される
public_content_rw_tタイプのラベルが付いたファイルへの書き込みアクセスを許可するかどうかを定義します。 httpd_builtin_scripting- このブール値は、
httpdスクリプトへのアクセスを定義します。このブール値を有効にすると、PHP コンテンツに必要となることがよくあります。 httpd_can_network_connect- 無効にすると、このブール値により、HTTP スクリプトとモジュールがネットワークポートまたはリモートポートへの接続を開始できなくなります。このブール値を有効にして、このアクセスを許可するようにします。
httpd_can_network_connect_db- 無効にすると、このブール値により、HTTP スクリプトとモジュールがデータベースサーバーへの接続を開始できなくなります。このブール値を有効にして、このアクセスを許可するようにします。
httpd_can_network_relayhttpdを正引きまたはリバースプロキシーとして使用する場合は、このブール値を有効にします。httpd_can_sendmail- 無効にすると、このブール値により、HTTP モジュールがメールが送信されなくなります。これにより、スパム攻撃が
httpdに存在することを防ぐことができます。このブール値を有効にして、HTTP モジュールがメールを送信できるようにします。 httpd_dbus_avahi- 無効にすると、このブール値は
D-Busを介したavahiサービスへのhttpdアクセスを拒否します。このブール値を有効にして、このアクセスを許可するようにします。 httpd_enable_cgi- 無効にすると、このブール値により、
httpdが CGI スクリプトを実行できなくなります。このブール値を有効にして、httpd がCGI スクリプトを実行できるようにします(CGI スクリプトにはhttpd_sys_script_exec_tタイプでラベル付けする必要があります)。 httpd_enable_ftp_server- このブール値を有効にすると、
httpdは FTP ポートでリッスンし、FTP サーバーとして機能します。 httpd_enable_homedirs- 無効にすると、このブール値により、
httpdがユーザーのホームディレクトリーにアクセスできなくなります。このブール値を有効にして、httpd がユーザーのホームディレクトリーにアクセスできるようにします(例:/home/*/のコンテンツ)。 httpd_execmem- このブール値を有効にすると、
httpdが、実行可能および書き込み可能なメモリーアドレスを必要とするプログラムを実行できます。このブール値を有効にすると、バッファーオーバーフローに対する保護が削減されますが、特定のモジュールやアプリケーション(Java や Mono アプリケーションなど)にはこの権限が必要なため、このブール値を有効にすることは推奨されていません。 httpd_ssi_exec- このブール値は、Web ページのサーバー側の include(SSI)要素を実行できるかどうかを定義します。
httpd_tty_comm- このブール値は、
httpdが制御する端末へのアクセスを許可するかどうかを定義します。通常、このアクセスは必要ありませんが、SSL 証明書ファイルの設定など、パスワードプロンプトを表示および処理するには端末アクセスが必要になります。 httpd_unified- このブール値を有効にすると、
httpd_tがすべてのhttpdタイプ(実行、読み取り、または書き込み)へのアクセスを許可します。無効にすると、読み取り専用、書き込み可能な、または実行ファイルである Web コンテンツと分離できます。このブール値を無効にするとセキュリティーレベルで追加のレベルが確保されますが、ラベルスクリプトや他の Web コンテンツにはそれぞれ必要なファイルアクセスに基づいて、個別にラベルスクリプトやその他の Web コンテンツに必要な管理オーバーヘッドが追加されます。 httpd_use_cifs- このブール値を有効にして、Samba を使用してマウントされているファイルシステムなど、
cifs_tタイプのラベルが付いた CIFS ボリュームのファイルへのhttpdアクセスを許可します。 httpd_use_nfs- このブール値を有効にして、NFS を使用してマウントされるファイルシステムなど、
nfs_tタイプのラベルが付いた NFS ボリュームのファイルへのhttpdアクセスを許可します。
注記
SELinux ポリシーの継続的な開発により、上記のリストには、サービスに関連するブール値が常に含まれない場合があります。一覧を表示するには、以下のコマンドを実行します。
~]$ getsebool -a | grep service_name
以下のコマンドを入力して、特定のブール値の詳細を表示します。
~]$ sepolicy booleans -b boolean_name
このコマンドが機能するには、sepolicy ユーティリティーを提供する policycoreutils-devel パッケージが必要になることに注意してください。