5.3. Boolean
SELinux は実行するサービスに必要な最小限レベルのアクセスに基づいています。サービスの実行手段は複数あるため、サービスをどのように実行するのかを SELinux に指示する必要があります。 次の Boolean を使って
vsftpd の動作方法を SELinux に指示します。
allow_ftpd_anon_write- この Boolean を無効にした場合、
vsftpdによるpublic_content_rw_tタイプのラベルが付いたファイルおよびディレクトリへの書き込みが阻止されます。 有効にすると、 ユーザーによる FTP 経由のファイルのアップロードが可能になります。 ファイルのアップロード先となるディレクトリにはpublic_content_rw_tタイプのラベルを付け、 また Linux パーミッションも設定しておく必要があります。 allow_ftpd_full_access- この Boolean をオンにすると、 アクセス制御に Linux (DAC) のパーミッションしか使用されなくなるため、 認証ユーザーはファイルに
public_content_tやpublic_content_rw_tのタイプのラベルが付いていなくてもファイルの読み取りおよび書き込みが可能になります。 allow_ftpd_use_cifs- この Boolean を有効にすると、
vsftpdによるcifs_tタイプのラベルが付いたファイルやディレクトリへのアクセスを許可します。 したがって、 この Boolean を有効にすることで Samba でマウントしたファイルシステムをvsftpdで共有することができるようになります。 allow_ftpd_use_nfs- この Boolean を有効にすると、
vsftpdによるnfs_tタイプのラベルが付いたファイルやディレクトリへのアクセスを許可します。 したがって、 この Boolean を有効にすることで NFS でマウントしたファイルシステムをvsftpdで共有することができるようになります。 ftp_home_dir- この Boolean を有効にすると、 認証ユーザーによるユーザーのホームディレクトリ内のファイルの読み取りと書き込みを許可します。 この Boolean をオフにした場合、 ホームディレクトリからファイルをダウンロードしようとすると
550 Failed to open fileなどのエラーが発生します。 SELinux 拒否がログ記録されます。 ftpd_connect_db- FTP デーモンによるデータベースへの接続開始を許可します。
httpd_enable_ftp_serverhttpdによる FTP ポートでのリッスンおよび FTP サーバーとしての動作を許可します。tftp_anon_write- この Boolean を有効にすると、 特殊なアクセス制限がなく共通ファイル用に予約されている領域など、パブリックディレクトリへの TFTP によるアクセスが許可されます。
