17.2. タイプ
高度なプロセス分離を提供するために、SELinux Targeted ポリシーで使用される主要なパーミッション制御方法は Type Enforcement です。すべてのファイルとプロセスにはタイプのラベルが付いています。タイプはプロセスの SELinux ドメインを定義し、ファイルの SELinux タイプを定義します。SELinux ポリシールールは、タイプにアクセスするドメインであるか、別のドメインにアクセスするドメインであるかにかかわらず、タイプが相互にアクセスする方法を定義します。アクセスは、それを許可する特定の SELinux ポリシールールが存在する場合にのみ許可されます。
BIND では、以下のタイプが使用されます。異なるタイプを使用すると、柔軟なアクセスを設定できます。
named_zone_t
- マスターゾーンファイルに使用されます。その他のサービスでは、このタイプのファイルを変更できません。
named
デーモンは、named_write_master_zones
ブール値が有効になっている場合に限り、このタイプのファイルを変更できます。 named_cache_t
- デフォルトでは、
named
は、このタイプのラベルが付いたファイルに書き込むことができます。ブール値は追加されません。/var/named/slaves/
ディレクトリー、/var/named/dynamic/
ディレクトリー、および/var/named/data/
ディレクトリーでコピーまたは作成されたファイルには、named_cache_t
のタイプに応じて自動的にラベルが付けられます。 named_var_run_t
/var/run/bind/
ディレクトリー、/var/run/named/
ディレクトリー、および/var/run/unbound/
ディレクトリーでコピーまたは作成されたファイルには、named_var_run_t
のタイプに応じて自動的にラベルが付けられます。named_conf_t
- BIND 関連の設定ファイルは、通常
/etc
ディレクトリーに保存され、自動的にnamed_conf_t
のタイプのラベルが付けられます。 named_exec_t
- BIND 関連の実行ファイルは、通常
/usr/sbin/
ディレクトリーに保存され、自動的にnamed_exec_t
タイプのラベルが付けられます。 named_log_t
- BIND 関連のログファイルは、通常
/var/log/
ディレクトリーに保存され、自動的にnamed_log_t
のタイプのラベルが付けられます。 named_unit_file_t
/usr/lib/systemd/system/
ディレクトリー内の実行可能な BIND 関連ファイルには、named_unit_file_t
のタイプに応じて自動的にラベルが付けられます。