6.6. アプリケーションを実行するユーザーのためのブール値

Linux ユーザーが書き込みアクセス権限を持つ自分のホームディレクトリーや /tmp ディレクトリーで (ユーザーのパーミッションを継承する) アプリケーションを実行できないようにすることで、欠陥のあるアプリケーションや悪意のあるアプリケーションがそのユーザーのファイルを修正できないようになります。
この動作の変更はブール値で可能となっており、setsebool ユーティリティーで設定します。これは、root で実行する必要があります。setsebool -P コマンドは、変更を永続的なものにします。再起動後に変更を維持しない場合は、-P オプションを使用しないでください。

guest_t

guest_t ドメインの Linux ユーザーがホームディレクトリーと /tmp でアプリケーションを 実行できない ようにするには、以下のコマンドを実行します。
~]# setsebool -P guest_exec_content off

xguest_t

xguest_t ドメインの Linux ユーザーがホームディレクトリーと /tmp でアプリケーションを 実行できない ようにするには、以下のコマンドを実行します。
~]# setsebool -P xguest_exec_content off

user_t

user_t ドメインの Linux ユーザーがホームディレクトリーと /tmp でアプリケーションを 実行できない ようにするには、以下のコマンドを実行します。
~]# setsebool -P user_exec_content off

staff_t

staff_t ドメインの Linux ユーザーがホームディレクトリーと /tmp でアプリケーションを 実行できない ようにするには、以下のコマンドを実行します。
~]# setsebool -P staff_exec_content off
staff_exec_content ブール値を有効にして staff_t ドメインの Linux ユーザーがホームディレクトリーと /tmp でアプリケーションを 実行できる ようにするには、以下のコマンドを実行します。
~]# setsebool -P staff_exec_content on

このページには機械翻訳が使用されている場合があります (詳細はこちら)。