Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.9. ファイルシステムのマウント

デフォルトでは、拡張属性をサポートするファイルシステムがマウントされると、各ファイルのセキュリティーコンテキストがファイルの security.selinux 拡張属性から取得されます。拡張属性をサポートしないファイルシステムのファイルには、ファイルシステムタイプに基づいて、ポリシー設定からのデフォルトのセキュリティーコンテキストが 1 つ割り当てられます。
mount -o context コマンドを使用して既存の拡張属性を上書きするか、拡張属性をサポートしないファイルシステムに別のデフォルトコンテキストを指定します。これは、ファイルシステム内で、複数のシステムで使用されるリムーバブルメディアなど、正しい属性を提供するために信頼されない場合に便利です。mount -o context コマンドは、File Allocation Table(FAT)や NFS ボリュームなどの拡張属性をサポートしないファイルシステムのラベル付けにも使用することができます。context オプションで指定した コンテキストは ディスクには書き込まれません。元のコンテキストは保持され、ファイルシステムが最初の場所で拡張属性がある場合に、コンテキスト なしでマウントするときに表示されます。
ファイルシステムのラベリングの詳細については、James Morris の「Filesystem Labeling in SELinux」の記事を参照してください http://www.linuxjournal.com/article/7426

4.9.1. コンテキストマウント

指定したコンテキストでファイルシステムをマウントするか、既存のコンテキストが存在する場合は上書きするか、拡張属性をサポートしないファイルシステムのデフォルトコンテキストを root ユーザーとして指定する場合は、mount -o context=SELinux_user:role:type:level コマンドを使用します。コンテキストの変更はディスクに書き込まれません。デフォルトでは、クライアント側への NFS マウントは、NFS ボリュームのポリシーで定義されたデフォルトコンテキストでラベル付けされます。一般的なポリシーでは、このデフォルトのコンテキストは nfs_t タイプを使用します。追加のマウントオプションがないと、Apache HTTP Server などの他のサービスを使用して NFS ボリュームの共有を防ぐことができます。以下の例では、Apache HTTP Server を使用して共有できるように NFS ボリュームをマウントします。
~]# mount server:/export /local/mount/point -o \ context="system_u:object_r:httpd_sys_content_t:s0"
このファイルシステムの新規作成ファイルおよびディレクトリーは、SELinux コンテキストが -o コンテキスト で指定されているように見えます。ただし、これらの変更はディスクに書き込まれないため、このオプションで指定したコンテキストはマウント間で永続化されません。そのため、必要なコンテキストを維持するために、このオプションはすべてのマウント時に指定された同じコンテキストと共に使用する必要があります。コンテキストマウントの永続化の詳細は、「コンテキストマウントの永続化」 を参照してください。
Enforcement タイプ は、SELinux ターゲットポリシーで使用される主要なパーミッション制御です。ほとんどの場合、SELinux ユーザーとロールは無視できるため、- o コンテキストで SELinux コンテキストを上書きする場合は、 SELinux system_u user および object_r ロールを使用し、タイプに集中します。MLS ポリシーまたはマルチカテゴリーセキュリティーを使用していない場合は、s 0 レベルを使用します。
注記
ファイルシステムが コンテキスト オプションを使用してマウントされている場合、ユーザーおよびプロセスによるコンテキストの変更は禁止されます。たとえば、コンテキスト オプションでマウントされたファイルシステムで chcon コマンドを実行すると、Operation not supported エラーが発生します。