Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

4.4. 権限のない SELinux ユーザーの非標準共有ディレクトリーへのアクセスを管理する

非特権 SELinux ユーザー user_u に対して、非標準の共有ディレクトリーへのアクセスを設定します。このプロセスでは、ディレクトリに対して適切な SELinux ファイルタイプを特定、マッピングすることで、アクセス制限を行います。

user_u ユーザーには、デフォルトのロール user_r とデフォルトのドメイン user_t が付与されています。関連するコマンドと汎用的な非特権 SELinux ユーザー user_u の詳細は、システム上の seinfo(1)semanage-fcontext(8)user_selinux(8) の man ページを参照してください。

前提条件

  • selinux-policy-doc および setools-console パッケージがシステムにインストールされている。

手順

  1. ターミナルで user_selinux(8) man ページを開きます。 

    $ man user_selinux

    MANAGED FILES セクションで、お客様の状況に合った属性またはタイプを見つけます。たとえば、user_home_type 属性です。

  2. オプション: 属性に割り当てられているすべてのタイプをリスト表示するには、-x および -a オプションを指定した seinfo コマンドを使用します。次に例を示します。 

    $ seinfo -x -a user_home_type

Type Attributes: 1
   attribute user_home_type;
…
	chrome_sandbox_home_t
	config_home_t
	cvs_home_t
	data_home_t
	dbus_home_t
	fetchmail_home_t
	gconf_home_t
	git_user_content_t
…

  3. 対応するタイプの候補 (この例では data_home_t タイプ) を特定したら、その SELinux マッピングを確認します。 

    $ semanage fcontext -l | grep data_home_t
…
/root/\.local/share(/.*)?                          all files          system_u:object_r:data_home_t:s0
…

  4. 対応するタイプを、user_u からアクセス可能にするディレクトリー (例: /shared-data) にマップします。 

    $ semanage fcontext -a -t data_home_t '/shared-data(/.*)?'

検証

  1. 設定したディレクトリーのマッピングを確認します。 

    # semanage fcontext -l | grep "shared-data"
/shared-data(/.*)?                             	all files      	system_u:object_r:data_home_t:s0
  2. user_u SELinux ユーザーにマップされた Linux ユーザーとしてログインし、ディレクトリーにアクセスできることを確認します。
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る