Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.3.4. Permissive ドメイン

SELinux が Permissive モードで実行している場合、SELinux はアクセスを拒否しませんが、Enforcing モードで実行している場合、拒否が拒否されたアクションについてログに記録されます。以前は、1 つのドメイン(remember: プロセスがドメインで実行される)を許容できませんでした。特定の状況では、システム全体を調べて問題のトラブルシューティングを行いました。
Permissive ドメインを使用すると、システム全体を許容するのではなく、単一のプロセス(ドメイン)を Permissive を実行するように設定できます。SELinux チェックは Permissive ドメインに対して実行されますが、カーネルはアクセスを許可し、SELinux がアクセスを拒否した状況で AVC 拒否を報告できます。
Permissive ドメインには、以下の用途があります。
  • 1 つのプロセス(ドメイン)を Permissive を実行して、Permissive を行い、システム全体を危険にさらすことなく問題のトラブルシューティングを行うことができます。
  • 管理者は、新しいアプリケーションのポリシーを作成できます。以前は、最小ポリシーを作成し、マシン全体が Permissive モードに配置され、アプリケーションが実行できるようになりましたが、SELinux 拒否がログに記録されるようになっています。その後、audit2allow を使用して、ポリシーの作成に役立ちます。これにより、システム全体が危険にさらされます。Permissive ドメインでは、システム全体を危険にさらすことなく、新しいポリシーのドメインのみを Permissive とマークできます。

11.3.4.1. ドメイン Permissive の作成

ドメインを Permissive するには、semanage permissive -a domain コマンドを実行します。domain は、Permissive を作成するドメインになります。たとえば、root で次のコマンドを入力して、httpd_t ドメイン(Apache HTTP Server が実行されるドメイン)permissive を設定します。
~]# semanage permissive -a httpd_t
Permissive のドメイン一覧を表示するには、root で semodule -l | grep permissive コマンドを実行します。以下は例になります。
~]# semodule -l | grep permissive
permissive_httpd_t    (null)
permissivedomains     (null)
ドメインを Permissive に設定しなくなった場合は、root で semanage permissive -d domain コマンドを実行します。以下は例になります。
~]# semanage permissive -d httpd_t