Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

23.20. セキュリティーラベル

<seclabel> 要素により、セキュリティードライバーの操作を制御できます。操作の基本モードには、「 dynamic」があり、libvirt が 一意のセキュリティーラベルを自動的に生成する 'static'、アプリケーションやラベルを選択する 'static'、または confinement が無効になっている 'none' の 3 つがあります。動的ラベルの生成では、libvirt は仮想マシンに関連付けられたリソースを自動的に再ラベル付けします。静的ラベル割り当てでは、管理者またはアプリケーションにより、ラベルがいずれのリソースでも正しく設定されていることを確認する必要がありますが、必要に応じて自動再ラベルを有効にできます。
libvirt で複数のセキュリティードライバーを使用する場合は、複数の seclabel タグを使用できます。これは、ドライバーごとに、各タグで参照されるセキュリティードライバーについては属性 モデル を使用して定義できます。トップレベルのセキュリティーラベルの有効な入力 XML 設定は以下のとおりです。

図23.86 セキュリティーラベル


  <seclabel type='dynamic' model='selinux'/>

  <seclabel type='dynamic' model='selinux'>
    <baselabel>system_u:system_r:my_svirt_t:s0</baselabel>
  </seclabel>

  <seclabel type='static' model='selinux' relabel='no'>
    <label>system_u:system_r:svirt_t:s0:c392,c662</label>
  </seclabel>

  <seclabel type='static' model='selinux' relabel='yes'>
    <label>system_u:system_r:svirt_t:s0:c392,c662</label>
  </seclabel>

  <seclabel type='none'/>
入力 XML に 'type' 属性が指定されていない場合、セキュリティードライバーのデフォルト設定が使用されます。これは 'none' または 'dynamic' のいずれかになります。ベースラベルが設定 <さ> れているにもかかわらず、「type」 が設定されていない場合、タイプは「 dynamic」であると想定されます。自動リソースの再ラベル付けがアクティブな状態で実行中のゲスト仮想マシンの XML を表示する場合は、追加の XML 要素(imagelabel) 含まれます。これは出力のみの要素であるため、ユーザーが提供する XML ドキュメントで無視されます。
以下の要素は、以下の値で操作できます。
  • Type: staticdynamic、または none のいずれかを指定して、libvirt が一意のセキュリティーラベルを生成するかどうかを判断します。
  • model: 有効なセキュリティーモデル名。現在有効なセキュリティーモデルに一致します。
  • 再ラベル付け - yes または no のいずれかです。動的ラベルの割り当てを使用する場合は、必ず yes である必要があります。静的ラベルの割り当てでは、デフォルトで no に設定されます。
  • Label - 静的<ラベル> を使用する場合は、仮想ドメインに割り当てる完全なセキュリティーラベルを指定する必要があります。コンテンツの形式は、使用中のセキュリティードライバーによって異なります。
    • selinux - SELinux コンテキスト
    • AppArmor: AppArmor プロファイル。
    • DAC: 所有者とグループはコロンで区切られています。どちらも、ユーザー名/グループ名または UID/GID として定義できます。ドライバーは最初にこれらの値を名前として解析しようとしますが、先頭のプラス記号を使用して、ドライバーを UID または GID として解析するようにできます。
  • <baselabel> - 動的ラベルを使用する場合は、オプションでベースのセキュリティーラベルを指定できます。コンテンツの形式は、使用中のセキュリティードライバーによって異なります。
  • <imagelabel>: これは、仮想ドメインに関連付けられたリソースに使用されるセキュリティーラベルを示す出力要素です。コンテンツの形式は、使用中のセキュリティードライバーによって異なります。再ラベル付けが済んでいる場合は、ラベルを無効にすることで、特定のソースファイル名に対して実行したラベルを微調整することもできます(ファイルが存在する場合は、NFS でファイルが存在する場合や、セキュリティーラベリングがないその他のファイルシステムでファイルが存在する場合でも)、別のラベルを要求することもできます(管理アプリケーションは、一部の企業間における特別なラベルを作成します)。seclabel 要素がトップレベルのドメイン割り当てではなく、特定のパスにアタッチする場合には、属性の relabel またはサブ要素ラベルのみがサポートされます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。