Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.6. アプリケーションを実行するユーザーに対するブール値

Linux ユーザーが、ホームディレクトリーや、書き込みアクセス権を持つ /tmp ディレクトリーでアプリケーション (ユーザーの権限を継承) を実行できないようにすると、欠陥のあるアプリケーションや悪意のあるアプリケーションが、ユーザーが所有するファイルを変更できなくなります。
ブール値はこの動作を変更するために使用でき、root として実行する必要がある setsebool ユーティリティーで設定されます。setsebool -P は永続的な変更を行います。システムを再起動しても変更を持続させない場合は、-P オプションを使用しないでください。

guest_t

guest_t ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]# setsebool -P guest_exec_content off

xguest_t

xguest_t ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]# setsebool -P xguest_exec_content off

user_t

user_t ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]# setsebool -P user_exec_content off

staff_t

staff_t ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]# setsebool -P staff_exec_content off
staff_exec_content のブール値を有効にし、staff_t ドメインの Linux ユーザーを許可して、ホームディレクトリーおよび /tmp でアプリケーションを実行するには、以下のコマンドを実行します。
~]# setsebool -P staff_exec_content on