4.3. sVirt の設定

SELinux ブール値は、オン/オフ切り替えが可能な変数で、機能やその他の特殊条件を迅速に有効化/無効化することができます。ブール値は、一時的な変更の場合は setsebool boolean_name {on|off}、再起動時に変更を永続化する場合は setsebool -P boolean_name {on|off} のいずれかを実行することによって切り替えることができます。
以下の表は、libvirt で始動された場合に KVM に影響する SELinux ブール値を示しています。これらのブール値 (オンまたはオフ) の現在の状態は、コマンド getsebool -a|grep virt を実行することにより確認できます。

表4.1 KVM SELinux のブール値

SELinux のブール値説明
staff_use_svirtstaff ユーザーによる sVirt ドメイン作成、およびそのドメインへの移行を有効にします。
unprivuser_use_svirt非特権ユーザーによる sVirt ドメイン作成、およびそのドメインへの移行を有効にします。
virt_sandbox_use_auditサンドボックスコンテナーによる監査メッセージの送信を有効にします。
virt_sandbox_use_netlinkサンドボックスコンテナーによるネットリンクシステム呼び出しの使用を有効にします。
virt_sandbox_use_sys_adminサンドボックスコンテナーによる sys_admin システム呼び出し (mount 等) の使用を有効にします。
virt_transition_userdomainユーザードメインとしての仮想プロセスの実行を有効にします。
virt_use_commvirt によるシリアルおよびパラレル通信ポートの使用を有効にします。
virt_use_execmem制限された仮想ゲストによる実行可能メモリーおよび実行可能スタックの使用を有効にします。
virt_use_fusefsvirt による FUSE マウントされたファイルの読み取りを有効にします。
virt_use_nfsvirt による NFS マウントされたファイルの管理を有効にします。
virt_use_rawipvirt による rawip ソケットとの通信を有効にします。
virt_use_sambavirt による CIFS マウントされたファイルの管理を有効にします。
virt_use_sanlock制限された仮想ゲストによる sanlock との通信を有効にします。
virt_use_usbvirt による USB デバイスの使用を有効にします。
virt_use_xserver仮想マシンによる X Window System との通信を有効にします。

注記

SELinux ブール値の詳細については、『Red Hat Enterprise Linux SELinux ユーザーおよび管理者のガイド』を参照してください。