8.6. SELinux

8.6.1. SELinux パッケージが Python 3 に移行

  • policycoreutils-python は、policycoreutils-python-utils パッケージおよび python3-policycoreutils パッケージに置き換えられました。
  • libselinux-python パッケージの機能は、python3-libselinux パッケージで提供されるようになりました。
  • setools-libs パッケージの機能は、python3-setools パッケージで提供されるようになりました。
  • libsemanage-python パッケージの機能は、python3-libsemanage パッケージで提供されるようになりました。

8.6.2. SELinux サブパッケージの変更点

  • libselinux-staticlibsemanage-staticlibsepol-static、および setools-libs-tcl が削除されました。
  • RHEL 8.0 および 8.1 では、setools-gui および setools-console-analyses は利用できません。RHEL 8.2 は、このサブパッケージを含む RHEL 8 の最初のマイナーバージョンです。

8.6.3. SELinux ブール値の変更点

8.6.3.1. 新しい SELinux ブール値

今回の SELinux システムポリシーの更新により、以下のブール値が追加されました。

  • colord_use_nfs
  • deny_bluetooth
  • httpd_use_opencryptoki
  • logrotate_use_fusefs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • tor_can_onion_services
  • unconfined_dyntrans_all
  • use_virtualbox
  • virt_sandbox_share_apache_content
  • virt_use_pcscd

8.6.3.2. 削除された SELinux ブール値

RHEL 8 SELinux ポリシーは、以前のリリースで使用できた以下のブール値を提供しません。

  • container_can_connect_any
  • ganesha_use_fusefs

8.6.3.3. デフォルト値の変更

RHEL 8 では、以下の SELinux ブール値が、以前のリリースとは異なるデフォルト値に設定されます。

  • domain_can_map_files はデフォルトで オフ になりました。
  • httpd_graceful_shutdown はデフォルトで オフ になりました。
  • Mozilla_plugin_can_network_connect はデフォルトで オン になりました。
  • named_write_master_zones はデフォルトで オン になりました。

さらに、antivirus_use_jit および ssh_chroot_rw_homedirs のブール値の説明が変更になりました。

ブール値の一覧とその意味を取得し、有効かどうかを調べるには、selinux-policy-devel パッケージをインストールして、以下のコマンドを実行します。

# semanage boolean -l

8.6.4. SELinux ポートタイプの変更点

RHEL 8 SELinux ポリシーは、以下の追加ポートタイプを提供します。

  • appswitch_emp_port_t
  • babel_port_t
  • bfd_control_port_t
  • conntrackd_port_t
  • firepower_port_t
  • nmea_port_t
  • nsca_port_t
  • openqa_port_t
  • openqa_websockets_port_t
  • priority_e_com_port_t
  • qpasa_agent_port_t
  • rkt_port_t
  • smntubootstrap_port_t
  • statsd_port_t
  • versa_tek_port_t

ポートタイプ dns_port_t および ephemeral_port_t の定義が変更され、gluster_port_t ポートタイプが削除されました。

8.6.5. sesearch の使用方法の変更点

  • sesearch コマンドは、-C オプションを使用しなくなり、条件式を含める必要があります。
  • -T--type オプションが以下のように変更になりました。

    • -T--type_trans - type_transition ルールを検索します。
    • --type_member - type_member ルールを検索します。
    • --type_change - type_change ルールを検索します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。