Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

14.3. ブール値

SELinux は、サービスの実行に必要な最低限のアクセスに基づいています。サービスはさまざまな方法で実行できます。したがって、サービスの実行方法を指定する必要があります。これは、SELinux ポリシーの記述に関する知識なしに、ランタイム時に SELinux ポリシーの一部を変更できるようにするブール値を使用して実現できます。これにより、SELinux ポリシーのリロードや再コンパイルを行わずに、サービスが NFS ボリュームにアクセスするのを許可するなどの変更が可能になります。
ブール値の状態を変更するには、setsebool コマンドを使用します。たとえば、httpd_anon_write ブール値を有効にするには、root ユーザーとして以下のコマンドを入力します。
~]# setsebool -P httpd_anon_write on
同じ例を使用してブール値を無効にするには、以下のようにコマンドで off に変更します
~]# setsebool -P httpd_anon_write off
注記
setsebool の変更が再起動後も維持する必要がない場合は、- P オプションを使用しないでください。
以下は、httpd の実行方法に cater で使用できる一般的なブール値の説明です。
httpd_anon_write
このブール値により、httpdpublic_content_rw_t タイプのラベルが付いたファイルの読み取りのみが許可されます。このブール値を有効にすると、httpd はパブリックファイル転送サービスのファイルを含むパブリックディレクトリーなどの public_content_rw_t タイプのラベルが付いたファイルに書き込むことができます。
httpd_mod_auth_ntlm_winbind
このブール値を有効にすると、httpd の mod_auth_ntlm_winbind モジュールを使用して、NTLM および Winbind 認証メカニズムにアクセスできます
httpd_mod_auth_pam
このブール値を有効にすると、httpd で mod_auth_pam モジュールを使用して PAM 認証メカニズムにアクセスできます
httpd_sys_script_anon_write
このブール値は、HTTP スクリプトが、パブリックファイル転送サービスで使用される public_content_rw_t タイプのラベルが付いたファイルへの書き込みアクセスを許可するかどうかを定義します。
httpd_builtin_scripting
このブール値は、httpd スクリプトへのアクセスを定義します。このブール値を有効にすると、PHP コンテンツに必要となることがよくあります。
httpd_can_network_connect
無効にすると、このブール値により、HTTP スクリプトとモジュールがネットワークポートまたはリモートポートへの接続を開始できなくなります。このブール値を有効にして、このアクセスを許可するようにします。
httpd_can_network_connect_db
無効にすると、このブール値により、HTTP スクリプトとモジュールがデータベースサーバーへの接続を開始できなくなります。このブール値を有効にして、このアクセスを許可するようにします。
httpd_can_network_relay
httpd を正引きまたはリバースプロキシーとして使用する場合は、このブール値を有効にします。
httpd_can_sendmail
無効にすると、このブール値により、HTTP モジュールがメールが送信されなくなります。これにより、スパム攻撃が httpd に存在することを防ぐことができます。このブール値を有効にして、HTTP モジュールがメールを送信できるようにします。
httpd_dbus_avahi
無効にすると、このブール値はD-Bus を介した avahi サービスへの httpd アクセスを拒否します。このブール値を有効にして、このアクセスを許可するようにします。
httpd_enable_cgi
無効にすると、このブール値により、httpd が CGI スクリプトを実行できなくなります。このブール値を有効にして、httpd が CGI スクリプトを実行 できるようにします(CGI スクリプトには httpd_sys_script_exec_t タイプでラベル付けする必要があります)。
httpd_enable_ftp_server
このブール値を有効にすると、httpd は FTP ポートでリッスンし、FTP サーバーとして機能します。
httpd_enable_homedirs
無効にすると、このブール値により、httpd がユーザーのホームディレクトリーにアクセスできなくなります。このブール値を有効にして、httpd がユーザーのホームディレクトリー にアクセスできるように します(例: /home/*/ のコンテンツ)。
httpd_execmem
このブール値を有効にすると、httpd が、実行可能および書き込み可能なメモリーアドレスを必要とするプログラムを実行できます。このブール値を有効にすると、バッファーオーバーフローに対する保護が削減されますが、特定のモジュールやアプリケーション(Java や Mono アプリケーションなど)にはこの権限が必要なため、このブール値を有効にすることは推奨されていません。
httpd_ssi_exec
このブール値は、Web ページのサーバー側の include(SSI)要素を実行できるかどうかを定義します。
httpd_tty_comm
このブール値は、httpd が制御する端末へのアクセスを許可するかどうかを定義します。通常、このアクセスは必要ありませんが、SSL 証明書ファイルの設定など、パスワードプロンプトを表示および処理するには端末アクセスが必要になります。
httpd_unified
このブール値を有効にすると、httpd_t がすべての httpd タイプ(実行、読み取り、または書き込み)へのアクセスを許可します。無効にすると、読み取り専用、書き込み可能な、または実行ファイルである Web コンテンツと分離できます。このブール値を無効にするとセキュリティーレベルで追加のレベルが確保されますが、ラベルスクリプトや他の Web コンテンツにはそれぞれ必要なファイルアクセスに基づいて、個別にラベルスクリプトやその他の Web コンテンツに必要な管理オーバーヘッドが追加されます。
httpd_use_cifs
このブール値を有効にして、Samba を使用してマウントされているファイルシステムなど、cifs_t タイプのラベルが付いた CIFS ボリュームのファイルへの httpd アクセスを許可します。
httpd_use_nfs
このブール値を有効にして、NFS を使用してマウントされるファイルシステムなど、nfs_t タイプのラベルが付いた NFS ボリュームのファイルへの httpd アクセスを許可します。
注記
SELinux ポリシーの継続的な開発により、上記のリストには、サービスに関連するブール値が常に含まれない場合があります。一覧を表示するには、以下のコマンドを実行します。
~]$ getsebool -a | grep service_name
以下のコマンドを入力して、特定のブール値の詳細を表示します。
~]$ sepolicy booleans -b boolean_name
このコマンドが機能するには、sepolicy ユーティリティーを提供する policycoreutils-devel パッケージが必要になることに注意してください。