4.13.4. Polyinstantiated ディレクトリーの設定
/tmp
ディレクトリーおよび /var/tmp/
ディレクトリーは、通常、すべてのプログラム、サービス、およびユーザーが一時的に保存するために使用されます。ただし、このような設定を行うと、競合状態攻撃や、ファイル名に基づく情報漏えいに対して脆弱になります。SELinux は、polyinstantiated ディレクトリーの形式でソリューションを提供します。これは、事実上、/tmp
と /var/tmp/
の両方がインスタンス化され、各ユーザーに対して非公開になっていることを意味します。ディレクトリーのインスタンス化を有効にすると、各ユーザーの /tmp
ディレクトリーおよび /var/tmp/
ディレクトリーが、/tmp-inst
および /var/tmp/tmp-inst
に自動的にマウントされます。
ディレクトリーのポリインスタンス化を有効にするには、以下の手順を行います。
手順4.21 ポリインスタンス化ディレクトリーの有効化
/etc/security/namespace.conf
ファイルの最後の 3 行のコメントを解除して、/tmp
、/var/tmp/
、およびユーザーのホームディレクトリーのインスタンス化を有効にします。~]$
tail -n 3 /etc/security/namespace.conf /tmp /tmp-inst/ level root,adm /var/tmp /var/tmp/tmp-inst/ level root,adm $HOME $HOME/$USER.inst/ level/etc/pam.d/login
ファイルーで、pam_namespace.so
モジュールが session 用に設定されていることを確認します。~]$
grep namespace /etc/pam.d/login session required pam_namespace.so- システムを再起動します。