無料Wikiサービス | デモページ
Linuxなどのメモ書き
検索

Adsense

SELinux ポリシー設定編 の差分
Rev.5→Rev.6  追加箇所 削除箇所


ファイルタイプの設定以外にドメイン/タイプの追加や各コマンドのポリシーを変更する場合は、selinux-policy-targeted-sources.noarchをインストールする必要があるが、これをyumでインストールすると幾つかの設定ファイルが上書きされるようなので、/etc/selinuxをバックアップしておいた方がよい。

[関連ファイル]ドメイン/タイプ定義/etc/selinux/targeted/src/policy/policy.confプログラムアクセス制御ポリシー設定/etc/selinux/targeted/src/policy/domains/program/*.teアクセスベクター(ファイル/ソケットへのアクセス手段)一覧/etc/selinux/targeted/src/policy/flask/access_vectors

ポリシーの設定

/etc/selinux/targeted/src/policy配下プログラムアクセス制御ポリシー設定ファイル以下にある
make reload/etc/selinux/targeted/policy/policy.19ポリシーバイナリしてまとめたファイルaudit2allow -dとすることでエラーログから*.te追加すべきallow出力してくれるのでこれを該当プログラム*.te追加する

/etc/selinux/targeted/src/policy/domains/program/*.te

このファイルを修正後、/etc/selinux/targeted/src/policy配下で

# make reload

とすれば、/etc/selinux/targeted/policy/policy.19(ポリシーをバイナリ化してまとめたファイル)が更新される。


発生しているエラーをモグラ叩きで潰している場合は、audit2allow -dとすることでエラーログから*.teに追加すべきallow文を出力してくれるので、これを該当プログラムの*.teに追加すると楽をできる。-oでファイルに直接書き込むこともできる。

# audit2allow -d
allow fsadm_t ramfs_t:fifo_file write;
allow kudzu_t modules_conf_t:file rename;
allow pppd_t sbin_t:lnk_file read;

TODO: 反映方法allow指定できるアクセスベクター(ファイル/ソケットへのアクセス手段)一覧以下ファイル参照できる

/etc/selinux/targeted/src/policy/flask/access_vectors

ドメイン/タイプの定義

以下のファイルに定義がある。

/etc/selinux/targeted/src/policy/policy.conf

残項目

ユーザ、ロールの定義