SELinuxは、調べても調べてもよくわからない。
あっているかわからないが、今後の作業で必要そうなものを
いったん覚書。
セキュリティコンテキスト関連
sestatus : SELinuxの状態表示
ps -Z -C <プロセス> :
稼働中のプロセスのセキュリティコンテキスト確認
id -Z : ログインシェルのセキュリティコンテキスト確認
ls -lZ <ファイル> :
ファイルのコンテキストを表示
chcon [オプション] <コンテキスト> <ファイル>:
<ファイル>のコンテキストを<コンテキスト>に変更
chcon [オプション] –reference=<ファイルA> <ファイル>:
<ファイルA>と同じコンテキストを<ファイル>に適用
オプション:
-c: 変更が行われた時ファイル名を表示
-h: シンボリックリンクに対して、リンク先のファイルでなくシンボリックリンクそのもののファイルコンテキストを設定
-f: エラーメッセージの表示を最小限に
-R: ディレクトリに対して再帰的にコンテキストを設定
-v: 処理するファイル毎に診断メッセージ表示
cp –preserve=context <ファイル> <コピー先>
cp –preserve=all <ファイル> <コピー先>
ファイルコピー時に、コンテキストもあわせてコピーする
アクセス制御ルール関連
パッケージ「setools」のインストール必須
seinfo : 現在適用されているポリシーの詳細情報
seserch <ルール> [オプション] [ポリシーファイル]:
アクセス制御ルールの調査
ルール: –allow, –neverallow, –audit, –type, -a(all)
オプション:
-s: ルール適用元のタイプ名
-t: ルール適用先のタイプ名
-c: ルールに関連したオブジェクトのクラス名
-p: ルールに規定されている操作許可
-b: 論理パラメーターに関連したルール
-C: 論理パラメータの状態によって変更になるルール
-i: タイプの属性も合わせて検索
-n: タイプ名や属性名に正規表現を使わない(指定しないと正規表現によるマッチング検索)
-l:ルールファイル内での行数
例: sesearch –allow -n -s ftpd_t -t public_content_t