7.3. MCS でのカテゴリーラベルの定義

setrans.conf ファイルを編集することで、MCS カテゴリーのラベル、または MCS カテゴリーと MLS レベルの組み合わせをシステムで管理および維持できます。このファイルでは、SELinux は、内部の機密レベルとカテゴリーレベル、および人間が判読できるラベルとの間でマッピングを維持しています。

注記

カテゴリーラベルは、ユーザーがカテゴリーを使いやすくするためだけのものです。MCS は、ラベルを定義するかどうかに関係なく同じように機能します。

前提条件

  • SELinux モードが Enforcing に設定されている。
  • SELinux のポリシーは targeted または mls に設定されている。
  • policycoreutils-python-utils パッケージおよび mcstrans パッケージがインストールされている。

手順

  1. テキストエディターで /etc/selinux/<selinuxpolicy>/setrans.conf ファイルを編集して、既存のカテゴリーを修正したり、カテゴリーを新たに作成したりできます。お使いの SELinux ポリシーに応じて、<selinuxpolicy>targeted または mls に置き換えます。以下に例を示します。 

    # vi /etc/selinux/targeted/setrans.conf

  2. ポリシーの setrans.conf ファイルで、構文 s_<security level>_:c_<category number>_=<category.name> を使用して、シナリオで必要なカテゴリーの組み合わせを定義します。以下に例を示します。 

    s0:c0=Marketing
s0:c1=Finance
s0:c2=Payroll
s0:c3=Personnel
    • カテゴリー番号は、c0 から c1023 まで使用できます。
    • targeted ポリシーでは、s0 セキュリティーレベルを使用します。
    • mls ポリシーでは、機密レベルとカテゴリーの組み合わせにラベルを付けることができます。
  3. オプション: setrans.conf ファイル内で、MLS 機密レベルにラベルを付けることもできます。
  4. ファイルを保存し、終了します。

  5. 変更を有効にするには、MCS 変換サービスを再起動します。 

    # systemctl restart mcstrans

検証

  • 現在のカテゴリーを表示します。 

    # chcat -L

    上の例の出力は、以下となります。 

    s0:c0                          Marketing
s0:c1                          Finance
s0:c2                          Payroll
s0:c3                          Personnel
s0
s0-s0:c0.c1023                 SystemLow-SystemHigh
s0:c0.c1023                    SystemHigh

関連情報

  • setrans.conf(5) の man ページ