6.6. アプリケーションを実行するユーザーのためのブール値
Linux ユーザーが自分のホームディレクトリーや書き込みアクセスのある
/tmp/
で (ユーザーのパーミッションを継承する) アプリケーションを実行できないことで、ユーザー所有のファイルに欠陥のあるアプリケーションや悪意のあるアプリケーションが修正できないようになっています。Red Hat Enterprise Linux 6 ではデフォルトで、guest_t
と xguest_t
ドメインの Linux ユーザー はホームディレクトリーや /tmp/
でアプリケーションを実行できません。しかしデフォルトでは、user_t
と staff_t
ドメインでは実行可能となっています。
この動作の変更のためにブール値が利用でき、
setsebool
コマンドで設定します。setsebool
コマンドは、Linux root ユーザーで実行する必要があります。setsebool -P
コマンドは、変更を永続的なものにします。リブート後には変更を維持したくない場合は、-P
オプションを使わないでください。
guest_t
guest_t
ドメインの Linux ユーザーがホームディレクトリーと /tmp/
でアプリケーションを実行できるようにするには、以下を実行します。
~]# setsebool -P allow_guest_exec_content on
xguest_t
xguest_t
ドメインの Linux ユーザーがホームディレクトリーと /tmp/
でアプリケーションを実行できるようにするには、以下を実行します。
~]# setsebool -P allow_xguest_exec_content on
user_t
user_t
ドメインの Linux ユーザーがホームディレクトリーと /tmp/
でアプリケーションを実行できないようにするには、以下を実行します。
~]# setsebool -P allow_user_exec_content off
staff_t
staff_t
ドメインの Linux ユーザーがホームディレクトリーと /tmp/
でアプリケーションを実行できないようにするには、以下を実行します。
~]# setsebool -P allow_staff_exec_content off