第4章 SELinux の使用
以下のセクションでは、Red Hat Enterprise Linux の主な SELinux パッケージの概要、パッケージのインストールと更新、使用するログファイル、主要な SELinux 設定ファイル、SELinux の有効化および無効化、SELinux モードの設定、ブール値の設定、ファイルとディレクトリーラベルの一時的および永続的な変更、mount コマンドでファイルシステムのラベルの上書き、NFS ボリュームのマウント、SELinux コンテキストの保存方法、ファイルとディレクトリーのコピー/アーカイブ時に SELinux コンテキストを保持する方法を説明します。
4.1. SELinux パッケージ
Red Hat Enterprise Linux のフルインストールでは、インストール中に手動で除外されていない限り、SELinux パッケージがデフォルトでインストールされます。テキストモードで最小インストールを実行する場合、policycoreutils-python および policycoreutils-gui パッケージはデフォルトではインストールされません。また、デフォルトでは SELinux は Enforcing モードで実行され、SELinux Targeted ポリシーが使用されます。以下の SELinux パッケージがデフォルトでシステムにインストールされている。
- policycoreutils は、SELinux の運用および管理用に
restorecon
、secon
、setfiles
、semodule
、load_policy
、およびsetsebool
などのユーティリティーを提供します。 - selinux-policy は、 基本的なディレクトリー構造、
selinux-policy.conf
ファイル、RPM マクロを提供します。 - selinux-policy-targeted は、SELinux の Targeted ポリシーを提供します。
- libselinux - SELinux アプリケーションの API を提供します。
- libselinux-utils は
avcstat
、getenforce
、getsebool
、matchpathcon
、selinuxconlist
、selinuxdefcon
、selinuxenabled
、およびsetenforce
ユーティリティーを提供します。 - libselinux-python は、SELinux アプリケーションを開発するための Python バインディングを提供します。
以下のパッケージはデフォルトではインストールされていませんが、オプションで yum install <package-name> コマンドを実行してインストールできます。
- selinux-policy-devel は、カスタムの SELinux ポリシーおよびポリシーモジュールを作成するユーティリティーを提供します。
- selinux-policy-doc では、さまざまなサービスで SELinux を完全に設定する方法を説明する man ページを提供します。
- selinux-policy-mls は、MLS(Multi-Level Security)SELinux ポリシーを提供します。
- setroubleshoot-server は、SELinux がアクセスが拒否されたときに生成される拒否メッセージを、sealert ユーティリティーで表示できる詳細の説明 (このパッケージでも提供) に変換します。
- setools-console は、Tresys Technology SETools ディストリビューション を提供します。これは、ポリシー、監査ログの監視とレポート、ファイルコンテキスト管理を分析およびクエリーするためのユーティリティーおよびライブラリーです。 setools パッケージは、SETools のメタパッケージです。setools-gui パッケージは、
apol
ユーティリティーおよびseaudit
ユーティリティーを提供します。setools-console パッケージは、sechecker
、sediff
、seinfo
、sesearch
およびfindcon
コマンドラインユーティリティーを提供します。これらのユーティリティーの詳細は、Tresys Technology SETools ページを参照してください。setools および setools-gui パッケージは、Red Hat Network Optional チャンネルが有効にされている場合にのみ使用できることに注意してください。詳細は、Scope of Coverage Details を参照してください。 - mcstrans は、
s0-s0:c0.c1023
などのレベルを、SystemLow-SystemHigh
などの読みやすい形式に変換します。 - policycoreutils-python は、SELinux の操作および管理用に semanage、audit2allow、audit2why、chcat などのユーティリティーを提供します。
- policycoreutils-gui は、SELinux を管理するためのグラフィカルユーティリティーである system-config-selinux を提供します。