手順4.11 SELinux コンテキストを維持せずにコピーする

1. ユーザーのホームディレクトリーでファイルを作成します。ファイルは user_home_t タイプでラベル付けされます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

2. 以下のコマンドで示すように、/var/www/html/ ディレクトリーは httpd_sys_content_t タイプでラベル付けされています。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

3. file1 が /var/www/html/ にコピーされると、httpd_sys_content_t タイプを継承します。

   ~]# cp file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1

手順4.12 SELinux コンテキストを維持してコピーする

1. ユーザーのホームディレクトリーでファイルを作成します。ファイルは user_home_t タイプでラベル付けされます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

2. 以下のコマンドで示すように、/var/www/html/ ディレクトリーは httpd_sys_content_t タイプでラベル付けされています。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

3. --preserve=context オプションを使うと、コピー時に SELinux コンテキストが維持されます。以下で示すように、file1 の user_home_t タイプは、このファイルを /var/www/html/ にコピーしても維持されます。

   ~]# cp --preserve=context file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:user_home_t:s0 /var/www/html/file1

手順4.13 コンテキストのコピーおよび変更

1. ユーザーのホームディレクトリーでファイルを作成します。ファイルは user_home_t タイプでラベル付けされます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

2. --context オプションを使って SELinux コンテキストを定義します。

   ~]$ cp --context=system_u:object_r:samba_share_t:s0 file1 file2

3. --context を使用しないと、file2 は unconfined_u:object_r:user_home_t コンテキストでラベル付けされます。

   ~]$ ls -Z file1 file2
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   -rw-rw-r--  user1 group1 system_u:object_r:samba_share_t:s0 file2

手順4.14 既存ファイル上へのファイルのコピー

1. root で新規ファイル file1 を /etc ディレクトリーに作成します。以下のように、このファイルは etc_t タイプでラベル付けされます。

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1

2. 別のファイル file2 を /tmp ディレクトリーに作成します。以下のように、このファイルは user_tmp_t タイプでラベル付けされます。

   ~]$ touch /tmp/file2

   ~$ ls -Z /tmp/file2
   -rw-r--r--  root root unconfined_u:object_r:user_tmp_t:s0 /tmp/file2

3. file1 を file2 で上書きします。

   ~]# cp /tmp/file2 /etc/file1

4. コピー後に以下のコマンドを実行すると、file1 は etc_t タイプでラベル付けされており、/etc/file1 を上書きした /tmp/file2 の user_tmp_t タイプではないことが分かります。

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1

手順4.15 ファイルおよびディレクトリーの移動

1. ユーザーのホームディレクトリーに移動して、ファイルを作成します。ファイルは user_home_t タイプでラベル付けされます。

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

2. 以下のコマンドを実行して、/var/www/html/ ディレクトリーの SELinux コンテキストを表示します。

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

   デフォルトでは、/var/www/html/ には httpd_sys_content_t タイプがラベル付けされています。/var/www/html/ 下で作成されたファイルおよびディレクトリーはこのタイプを継承するため、このタイプでラベル付けされます。
3. root で file1 を /var/www/html/ に移動します。このファイルは移動したので、現行の user_home_t タイプを維持します。

   ~]# mv file1 /var/www/html/

   ~]# ls -Z /var/www/html/file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 /var/www/html/file1

手順4.16 matchpathcon を使ってデフォルトの SELinux コンテキストをチェックする

1. root ユーザーとして /var/www/html/ ディレクトリーに 3 つのファイルを作成します (file1、file2、file3)。これらのファイルは /var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3

2. root で file1 のタイプを samba_share_t に変更します。Apache HTTP Server は、samba_share_t タイプでラベル付けされたファイルやディレクトリーを読み取れないことに注意してください。

   ~]# chcon -t samba_share_t /var/www/html/file1

3. matchpathcon -V オプションは、現行の SELinux コンテキストを SELinux ポリシーの正しいデフォルトのコンテキストと比較します。以下のコマンドを実行すると、/var/www/html/ ディレクトリー内の全ファイルをチェックします。

   ~]$ matchpathcon -V /var/www/html/*
   /var/www/html/file1 has context unconfined_u:object_r:samba_share_t:s0, should be system_u:object_r:httpd_sys_content_t:s0
   /var/www/html/file2 verified.
   /var/www/html/file3 verified.

手順4.17 tar アーカイブを作成する

1. /var/www/html/ ディレクトリーに移動し、その SELinux コンテキストを確認します。

   ~]$ cd /var/www/html/

   html]$ ls -dZ /var/www/html/
   drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 .

2. root ユーザーとして /var/www/html/ ディレクトリーに 3 つのファイルを作成します (file1、file2、file3)。これらのファイルは /var/www/html/ から httpd_sys_content_t タイプを継承します。

   html]# touch file{1,2,3}

   html]$ ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3

3. root で以下のコマンドを実行し、test.tar という名前の tar アーカイブを作成します。SELinux コンテキストを保持するには、--selinux を使用します。

   html]# tar --selinux -cf test.tar file{1,2,3}

4. root で test/ という名前の新規ディレクトリーを作成し、全ユーザーに完全アクセスを許可します。

   ~]# mkdir /test

   ~]# chmod 777 /test/

5. test.tar ファイルを test/ にコピーします。

   ~]$ cp /var/www/html/test.tar /test/

6. test/ ディレクトリーに移動し、以下のコマンドを実行して tar アーカイブを抽出します。--selinux オプションを指定してください。これを行わないと、SELinux コンテキストが default_t に変更されます。

   ~]$ cd /test/

   test]$ tar --selinux -xvf test.tar

7. SELinux コンテキストを確認します。httpd_sys_content_t タイプが維持されたことが分かります。--selinux を使用していなければ、default_t に変更されていました。

   test]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.tar

8. test/ ディレクトリーが不要になったら、root で以下のコマンドを実行し、ディレクトリーとその中の全ファイルを削除します。

   ~]# rm -ri /test/

手順4.18 star アーカイブを作成する

1. root で /var/www/html/ ディレクトリーに 3 つのファイルを作成します (file1、file2、file3)。これらのファイルは /var/www/html/ から httpd_sys_content_t タイプを継承します。

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3

2. /var/www/html/ ディレクトリーに移動し、root で以下のコマンドを実行して test.star という名前の star アーカイブを作成します。

   ~]$ cd /var/www/html

   html]# star -xattr -H=exustar -c -f=test.star file{1,2,3}
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).

3. root で test/ という名前の新規ディレクトリーを作成し、全ユーザーに完全アクセスを許可します。

   ~]# mkdir /test

   ~]# chmod 777 /test/

4. 以下のコマンドを実行して、test.star ファイルを test/ にコピーします。

   ~]$ cp /var/www/html/test.star /test/

5. test/ ディレクトリーに移動し、以下のコマンドを実行して star アーカイブを抽出します。

   ~]$ cd /test/

   test]$ star -x -f=test.star 
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).

6. SELinux コンテキストを確認します。httpd_sys_content_t タイプが維持されたことが分かります。-xattr -H=exustar オプションを使用していなければ、default_t に変更されていました。

   ~]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.star

7. test/ ディレクトリーが不要になったら、root で以下のコマンドを実行し、ディレクトリーとその中の全ファイルを削除します。

   ~]# rm -ri /test/

8. star が不要になったら、root でパッケージを削除します。

   ~]# yum remove star