Red Hat Training

A Red Hat training course is available for RHEL 8

8.6.3. SELinux ポリシーの変更点

RHEL 8 では、init _t ドメインタイプは制限なしでなくなりました。これにより、別の SELinux ラベリングアプローチを使用するサードパーティーアプリケーションで問題が発生する可能性があります。

非標準場所で SELinux ラベリングの問題を解消するために、このような場所のファイルコンテキストの等価性を設定します。

  1. /my/apps および / ディレクトリーのファイルコンテキストの等価性を設定します。

    # semanage fcontext -a -e / /my/apps
  2. SELinux ポリシーのローカルカスタマイズを一覧表示して、ファイルコンテキストの等価性を確認します。

    # semanage fcontext -l -C
    
    SELinux Local fcontext Equivalence
    
    /my/apps = /
  3. /my/apps のコンテキストをデフォルトに復元します。これは、/ のコンテキストと同等です。

    # restorecon -Rv /my/apps
    restorecon reset /my/apps context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:root_t:s0
    restorecon reset /my/apps/bin context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:bin_t:s0
    restorecon reset /my/apps/bin/executable context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:bin_t:s0

この方法では、標準以外の場所にインストールされたほとんどのファイルおよびディレクトリーに正しいラベルが割り当てられます。また、実行ファイルによっては開始したプロセスが適切にラベル付けされます。

ファイルコンテキストの等価性を削除するには、以下のコマンドを使用します。

# semanage fcontext -d -e / /my/apps
  • 詳細は、man ページの semanage-fcontext を参照してください