SELinux ユーザーおよび管理者のガイド
I. SELinux
Expand section "I. SELinux" Collapse section "I. SELinux"
1. 1. はじめに
  Expand section "1. はじめに" Collapse section "1. はじめに"
2. 2. SELinux Contexts
  Expand section "2. SELinux Contexts" Collapse section "2. SELinux Contexts"
3. 3. ターゲットポリシー
  Expand section "3. ターゲットポリシー" Collapse section "3. ターゲットポリシー"
  1. 3.1. 制限のあるプロセス
  2. 3.2. 制限のないプロセス
  3. 3.3. 制限のあるユーザーおよび制限のないユーザー
    
    Expand section "3.3. 制限のあるユーザーおよび制限のないユーザー" Collapse section "3.3. 制限のあるユーザーおよび制限のないユーザー"
    
    3.3.1. sudo の移行および SELinux ロール
4. 4. SELinux の使用
  Expand section "4. SELinux の使用" Collapse section "4. SELinux の使用"
  1. 4.1. SELinux Packages
  2. 4.2. 使用されているログファイル
  3. 4.3. 主な設定ファイル
  4. 4.4. SELinux の状態およびモードの永続的な変更
    
    Expand section "4.4. SELinux の状態およびモードの永続的な変更" Collapse section "4.4. SELinux の状態およびモードの永続的な変更"
    
    4.4.1. SELinux の有効化
    
    Expand section "4.4.1. SELinux の有効化" Collapse section "4.4.1. SELinux の有効化"
    
    4.4.1.1. Permissive モード
    
    4.4.1.2. Enforcing モード
    
    4.4.2. SELinux の無効化
  5. 4.5. 起動時の SELinux モードの変更
  6. 4.6. ブール値
    
    Expand section "4.6. ブール値" Collapse section "4.6. ブール値"
    
    4.6.1. ブール値の一覧表示
    
    4.6.2. ブール値の設定
    
    4.6.3. シェルの自動完了
  7. 4.7. SELinux コンテキスト：ファイルのラベル付け
    
    Expand section "4.7. SELinux コンテキスト：ファイルのラベル付け" Collapse section "4.7. SELinux コンテキスト：ファイルのラベル付け"
    
    4.7.1. 一時的な変更： chcon
    
    4.7.2. 永続的な変更： semanage fcontext
    
    4.7.3. ファイルコンテキストの決定方法
  8. 4.8. file_t および default_t タイプ
  9. 4.9. ファイルシステムのマウント
    
    Expand section "4.9. ファイルシステムのマウント" Collapse section "4.9. ファイルシステムのマウント"
    
    4.9.1. コンテキストマウント
    
    4.9.2. デフォルトコンテキストの変更
    
    4.9.3. NFS ボリュームのマウント
    
    4.9.4. 複数の NFS マウント
    
    4.9.5. コンテキストマウントの永続化
  10. 4.10. SELinux ラベルの維持
    
    Expand section "4.10. SELinux ラベルの維持" Collapse section "4.10. SELinux ラベルの維持"
    
    4.10.1. ファイルおよびディレクトリーのコピー
    
    4.10.2. ファイルおよびディレクトリーの移動
    
    4.10.3. デフォルトの SELinux コンテキストの確認
    
    4.10.4. tar でのファイルのアーカイブ
    
    4.10.5. star のあるファイルのアーカイブ
  11. 4.11. 情報収集ツール
  12. 4.12. SELinux ポリシーモジュールの優先順位付けと無効化
  13. 4.13. Multi-Level Security (MLS)
    
    Expand section "4.13. Multi-Level Security (MLS)" Collapse section "4.13. Multi-Level Security (MLS)"
    
    4.13.1. MLS およびシステム権限
    
    4.13.2. SELinux での MLS の有効化
    
    4.13.3. 特定の MLS 範囲でのユーザーの作成
    
    4.13.4. 連続したディレクトリーの設定
  14. 4.14. ファイル名の移行
  15. 4.15. ptrace（）の無効化
  16. 4.16. サムネイル保護
5. 5. sepolicy Suite
  Expand section "5. sepolicy Suite" Collapse section "5. sepolicy Suite"
6. 6. ユーザーの制限
  Expand section "6. ユーザーの制限" Collapse section "6. ユーザーの制限"
7. 7. Sandbox を使用したプログラムのセキュリティー保護
  Expand section "7. Sandbox を使用したプログラムのセキュリティー保護" Collapse section "7. Sandbox を使用したプログラムのセキュリティー保護"
  1. 7.1. Sandbox を使用したアプリケーションの実行
8. 8. sVirt
  Expand section "8. sVirt" Collapse section "8. sVirt"
  1. 8.1. セキュリティーおよび仮想化
  2. 8.2. sVirt のラベル付け
9. 9. セキュアな Linux コンテナー
10. 10. SELinux systemd アクセス制御
  Expand section "10. SELinux systemd アクセス制御" Collapse section "10. SELinux systemd アクセス制御"
  1. 10.1. サービスの SELinux アクセスパーミッション
  2. 10.2. SELinux および journald
11. 11. トラブルシューティング
  Expand section "11. トラブルシューティング" Collapse section "11. トラブルシューティング"
  1. 11.1. アクセスが拒否されたときにどのような Happens になるか
  2. 11.2. 最も大きな 3 つの原因
    
    Expand section "11.2. 最も大きな 3 つの原因" Collapse section "11.2. 最も大きな 3 つの原因"
    
    11.2.1. ラベル付けの問題
    
    Expand section "11.2.1. ラベル付けの問題" Collapse section "11.2.1. ラベル付けの問題"
    
    11.2.1.1. 正しいコンテキストとは何ですか？
    
    11.2.2. 機密サービスの実行方法
    
    11.2.3. 進化したルールおよびアプリケーション
  3. 11.3. 問題の解決
    
    Expand section "11.3. 問題の解決" Collapse section "11.3. 問題の解決"
    
    11.3.1. Linux の権限
    
    11.3.2. 重大なサービス拒否攻撃の可能性
    
    11.3.3. サービスの man ページ
    
    11.3.4. Permissive ドメイン
    
    Expand section "11.3.4. Permissive ドメイン" Collapse section "11.3.4. Permissive ドメイン"
    
    11.3.4.1. ドメイン Permissive の作成
    
    11.3.4.2. Permissive ドメインの無効化
    
    11.3.4.3. Permissive ドメインの拒否
    
    11.3.5. サービス拒否検索および表示
    
    11.3.6. 生の監査メッセージ
    
    11.3.7. sealert メッセージ
    
    11.3.8. アクセスの許可： audit2allow
12. 12. 追加情報
  Expand section "12. 追加情報" Collapse section "12. 追加情報"
  1. 12.1. コントリビューター
  2. 12.2. その他リソース
II. 機密サービスの管理
Expand section "II. 機密サービスの管理" Collapse section "II. 機密サービスの管理"
1. 13. Apache HTTP サーバー
  Expand section "13. Apache HTTP サーバー" Collapse section "13. Apache HTTP サーバー"
  1. 13.1. Apache HTTP サーバーおよび SELinux
  2. 13.2. types
  3. 13.3. ブール値
  4. 13.4. 設定の例
    
    Expand section "13.4. 設定の例" Collapse section "13.4. 設定の例"
    
    13.4.1. 静的サイトの実行
    
    13.4.2. NFS および CIFS ボリュームの共有
    
    13.4.3. サービス間でのファイルの共有
    
    13.4.4. ポート番号の変更
2. 14. Samba
  Expand section "14. Samba" Collapse section "14. Samba"
  1. 14.1. Samba および SELinux
  2. 14.2. types
  3. 14.3. ブール値
  4. 14.4. 設定の例
    
    Expand section "14.4. 設定の例" Collapse section "14.4. 設定の例"
    
    14.4.1. 作成するディレクトリーの共有
    
    14.4.2. Web サイトの共有
3. 15. ファイル転送プロトコル
  Expand section "15. ファイル転送プロトコル" Collapse section "15. ファイル転送プロトコル"
  1. 15.1. types
  2. 15.2. ブール値
4. 16. ネットワークファイルシステム
  Expand section "16. ネットワークファイルシステム" Collapse section "16. ネットワークファイルシステム"
  1. 16.1. NFS および SELinux
  2. 16.2. types
  3. 16.3. ブール値
  4. 16.4. 設定の例
    
    Expand section "16.4. 設定の例" Collapse section "16.4. 設定の例"
    
    16.4.1. SELinux ラベル付き NFS サポートの有効化
5. 17. BIND (Berkeley Internet Name Domain)
  Expand section "17. BIND (Berkeley Internet Name Domain)" Collapse section "17. BIND (Berkeley Internet Name Domain)"
  1. 17.1. BIND および SELinux
  2. 17.2. types
  3. 17.3. ブール値
  4. 17.4. 設定の例
    
    Expand section "17.4. 設定の例" Collapse section "17.4. 設定の例"
    
    17.4.1. Dynamic DNS
6. 18. 同時バージョン管理システム
  Expand section "18. 同時バージョン管理システム" Collapse section "18. 同時バージョン管理システム"
  1. 18.1. cvs および SELinux
  2. 18.2. types
  3. 18.3. ブール値
  4. 18.4. 設定の例
    
    Expand section "18.4. 設定の例" Collapse section "18.4. 設定の例"
    
    18.4.1. CVS の設定
7. 19. Squid キャッシュプロキシー
  Expand section "19. Squid キャッシュプロキシー" Collapse section "19. Squid キャッシュプロキシー"
  1. 19.1. Squid キャッシュプロキシーおよび SELinux
  2. 19.2. types
  3. 19.3. ブール値
  4. 19.4. 設定の例
    
    Expand section "19.4. 設定の例" Collapse section "19.4. 設定の例"
    
    19.4.1. 非標準ポートへの Squid 接続
8. 20. MariaDB（MySQL の代わり）
  Expand section "20. MariaDB（MySQL の代わり）" Collapse section "20. MariaDB（MySQL の代わり）"
  1. 20.1. MariaDB および SELinux
  2. 20.2. types
  3. 20.3. ブール値
  4. 20.4. 設定の例
    
    Expand section "20.4. 設定の例" Collapse section "20.4. 設定の例"
    
    20.4.1. MariaDB がデータベースの場所の変更
9. 21. PostgreSQL
  Expand section "21. PostgreSQL" Collapse section "21. PostgreSQL"
  1. 21.1. PostgreSQL および SELinux
  2. 21.2. types
  3. 21.3. ブール値
  4. 21.4. 設定の例
    
    Expand section "21.4. 設定の例" Collapse section "21.4. 設定の例"
    
    21.4.1. PostgreSQL がデータベースの場所の変更
10. 22. rsync
  Expand section "22. rsync" Collapse section "22. rsync"
  1. 22.1. rsync and SELinux
  2. 22.2. types
  3. 22.3. ブール値
  4. 22.4. 設定の例
    
    Expand section "22.4. 設定の例" Collapse section "22.4. 設定の例"
    
    22.4.1. rsync をデーモンとして使用する
11. 23. postfix
  Expand section "23. postfix" Collapse section "23. postfix"
  1. 23.1. postfix および SELinux
  2. 23.2. types
  3. 23.3. ブール値
  4. 23.4. 設定の例
    
    Expand section "23.4. 設定の例" Collapse section "23.4. 設定の例"
    
    23.4.1. SpamAssassin および Postfix
12. 24. DHCP
  Expand section "24. DHCP" Collapse section "24. DHCP"
  1. 24.1. DHCP および SELinux
  2. 24.2. types
13. 25. OpenShift by Red Hat
  Expand section "25. OpenShift by Red Hat" Collapse section "25. OpenShift by Red Hat"
  1. 25.1. OpenShift および SELinux
  2. 25.2. types
  3. 25.3. ブール値
  4. 25.4. 設定の例
    
    Expand section "25.4. 設定の例" Collapse section "25.4. 設定の例"
    
    25.4.1. デフォルトの OpenShift ディレクトリーの変更
14. 26. ID 管理
  Expand section "26. ID 管理" Collapse section "26. ID 管理"
  1. 26.1. Identity Management および SELinux
    
    Expand section "26.1. Identity Management および SELinux" Collapse section "26.1. Identity Management および SELinux"
    
    26.1.1. Active Directory ドメインへの信頼
  2. 26.2. 設定の例
    
    Expand section "26.2. 設定の例" Collapse section "26.2. 設定の例"
    
    26.2.1. SELinux ユーザーの IdM ユーザーへのマッピング
15. 27. Red Hat Gluster Storage
  Expand section "27. Red Hat Gluster Storage" Collapse section "27. Red Hat Gluster Storage"
  1. 27.1. Red Hat Gluster Storage および SELinux
  2. 27.2. types
  3. 27.3. ブール値
  4. 27.4. 設定の例
    
    Expand section "27.4. 設定の例" Collapse section "27.4. 設定の例"
    
    27.4.1. Gluster ブリックのラベル付け
16. 28. 参考資料
A. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.7. SELinux コンテキスト：ファイルのラベル付け

SELinux を実行しているシステムでは、すべてのプロセスとファイルに、セキュリティー関連の情報を表す方法でラベルが付けられます。この情報は、SELinux コンテキストと呼ばれます。ファイルについては、ls -Z コマンドを使用して表示されます。

~]$ ls -Z file1
-rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1

この例では、SELinux はユーザー(unconfined_u)、ロール(object_r)、タイプ(user_home_t)、およびレベル(s0)を提供します。この情報は、アクセス制御の決定に使用されます。DAC システムでは、アクセスは Linux ユーザーおよびグループ ID に基づいて制御されます。SELinux ポリシールールは、DAC ルールの後にチェックされます。DAC ルールがアクセスを拒否した場合は、SELinux ポリシールールは使用されません。

注記

デフォルトでは、新たに作成したファイルおよびディレクトリーは、親ディレクトリーの SELinux タイプを継承します。たとえば、etc_t タイプのラベルが付けられた /etc ディレクトリーに新規ファイルを作成する場合、新しいファイルは同じタイプを継承します。

~]$ ls -dZ - /etc
drwxr-xr-x. root root system_u:object_r:etc_t:s0       /etc

~]# touch /etc/file1

~]# ls -lZ /etc/file1
-rw-r--r--. root root unconfined_u:object_r:etc_t:s0   /etc/file1

SELinux は、chcon、semanage fcontext、restorecon、match path con などのファイルシステムのラベリングを管理するための複数のコマンドを提供します。

4.7.1. 一時的な変更： chcon

chcon コマンドは、ファイルの SELinux コンテキストを変更します。ただし、ch con コマンドで行った変更は、ファイルシステムの再ラベルや restorecon コマンドの実行には永続性がありません。SELinux ポリシーは、ユーザーが指定のファイルの SELinux コンテキストを変更できるかどうかを制御します。chcon を使用する場合、ユーザーは SELinux コンテキストすべてまたは一部を提供します。誤ったファイルタイプは、SELinux がアクセスを拒否する一般的な原因です。

クイックリファレンス

chcon -t type file-name コマンドを実行してファイルの種類を変更します。type は、httpd_sys_content_t などの SELinux タイプで、file-name はファイルまたはディレクトリー名です。
```
~]$ chcon -t httpd_sys_content_t file-name
```
chcon -R -t type directory-name コマンドを実行して、ディレクトリーのタイプとそのコンテンツを変更します。type は、httpd_sys_content_t などの SELinux タイプで、directory-name はディレクトリー名です。
```
~]$ chcon -R -t httpd_sys_content_t directory-name
```

手順4.6 ファイルまたはディレクトリーのタイプの変更

以下の手順は、タイプを変更し、SELinux コンテキストのその他の属性の変更を示しています。本セクションの例は、たとえば file1 がディレクトリーの場合など、ディレクトリーで同じものです。

ホームディレクトリーに移動します。
新しいファイルを作成し、その SELinux コンテキストを表示します。
```
~]$ touch file1
```
```
~]$ ls -Z file1
-rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
```
この例では、file1 の SELinux コンテキストには、SELinux unconfined_u ユーザー、object_r ロール、user_home_t タイプ、s 0 レベルが含まれます。SELinux コンテキストの各部分の説明は、2章SELinux Contexts を参照してください。
以下のコマンドを入力して、タイプを samba_share_t に変更します。-t オプションは、タイプのみを変更します。次に、変更を表示します。
```
~]$ chcon -t samba_share_t file1
```
```
~]$ ls -Z file1 
-rw-rw-r--  user1 group1 unconfined_u:object_r:samba_share_t:s0 file1
```
以下のコマンドを使用して、file1 ファイルの SELinux コンテキストを復元します。-v オプションを使用して、変更内容を表示します。
```
~]$ restorecon -v file1
restorecon reset file1 context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:user_home_t:s0
```
この例では、前のタイプ samba_share_t が、正しい user_home_t タイプに復元されます。ターゲットポリシー（Red Hat Enterprise Linux のデフォルトの SELinux ポリシー）を使用する場合、restorecon コマンドは /etc/selinux/targeted/contexts/files/ ディレクトリーのファイルを読み取り、どの SELinux コンテキストファイルが存在するかを確認します。

手順4.7 ディレクトリーとそのコンテンツタイプの変更

以下の例は、新しいディレクトリーを作成し、そのディレクトリーのファイルタイプを Apache HTTP Server が使用するタイプに変更する方法を示しています。この例の設定は、Apache HTTP Server が異なるドキュメントルート（ /var/www/html/ではなく）を使用する場合に使用します。

root ユーザーとして、このディレクトリーに新しい web/ ディレクトリーを作成し、3 つの空のファイル（file1、file2、および file3）を作成します。web/ ディレクトリーおよびそのファイルには、default_t タイプのラベルが付けられます。

~]# mkdir /web

~]# touch /web/file{1,2,3}

~]# ls -dZ /web
drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web

~]# ls -lZ /web
-rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
-rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
-rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3

root で以下のコマンドを入力し、web / ディレクトリー（およびそのコンテンツ）のタイプを httpd_sys_content_t に変更します。

~]# chcon -R -t httpd_sys_content_t /web/

~]# ls -dZ /web/
drwxr-xr-x  root root unconfined_u:object_r:httpd_sys_content_t:s0 /web/

~]# ls -lZ /web/
-rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
-rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
-rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3

デフォルトの SELinux コンテキストを復元するには、root で restorecon ユーティリティーを使用します。

~]# restorecon -R -v /web/
restorecon reset /web context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
restorecon reset /web/file2 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
restorecon reset /web/file3 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
restorecon reset /web/file1 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0

chcon の詳細は、chcon(1) man ページを参照してください。

注記

Enforcement タイプは、SELinux ターゲットポリシーで使用される主要なパーミッション制御です。ほとんどの部分では、SELinux ユーザーおよびロールを無視できます。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

4.7. SELinux コンテキスト：ファイルのラベル付け

4.7.1. 一時的な変更： chcon

クイックリファレンス

Red Hat Training

4.7. SELinux コンテキスト： ファイルのラベル付け

4.7.1. 一時的な変更： chcon

クイックリファレンス

4.7. SELinux コンテキスト：ファイルのラベル付け