→ このページの結論は「よく分からんから permissive で」。SL62 SELinux で再挑戦
SELinux とは? †
- 従来の DAC によるアクセス制御の他に MAC でもアクセス制御を行う
- DAC 任意アクセス方式
- MAC 強制アクセス方式
- プロセスはドメインに属する
- ファイルはタイプに属する
- どの ドメイン に、どの タイプ の利用を許可するかは、アクセスベクタ に定義する
- アクセスベクタは、/etc/selinux/targeted/policy/policy.?? に格納されている
SELinux を停止する †
- seedit が使えないので、とりあえず停止。
- seedit が使えるようになってからまた考える・・・とはいえ運用中には変えられないよなぁ・・・
- 現在の状態を確認する
$ sudo getenforce
Enforcing
- 一時的に SELinux の状態を変える
$ sudo setenforce 0
$ sudo getenforce
Permissive
$ sudo setenforce 1
$ sudo getenforce
Enforcing
- 恒久的に SELinux の状態を変える
$ sudo vi /etc/selinux/config
1
2 # This file controls the state of SELinux on the system.
3 # SELINUX= can take one of these three values:
4 # enforcing - SELinux security policy is enforced.
5 # permissive - SELinux prints warnings instead of enforcing.
6 # disabled - No SELinux policy is loaded.
7 #SELINUX=enforcing
8 SELINUX=disabled
9
10 # SELINUXTYPE= can take one of these two values:
11 # targeted - Targeted processes are protected,
12 # mls - Multi Level Security protection.
13 SELINUXTYPE=targeted
14
$ shutdown -r now
(書き途中) アクセスベクタの編集 †
- seedit
- Fedora 13 では、現時点(2010-07-10) でパッケージ作成のミスから使えない状況になっている
(書き途中) samba の設定例 †
- samba のドメイン
# ps -eZ | grep smb
system_u:system_r:smbd_t:s0 4927 ? 00:00:00 smbd
system_u:system_r:smbd_t:s0 4934 ? 00:00:00 smbd
system_u:system_r:smbd_t:s0 4979 ? 00:00:00 smbd
smbd_t というドメインに属している。
- samba のアクセスベクタ
- 共有ディレクトリにタイプを付与する
ここで、共有ディレクトリにしようとしている /home/public
# ls -dZ /home/public/
drwxr-xr-x. nobody nobody unconfined_u:object_r:home_root_t:s0 /home/public/
Fedora 13 Server
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
