14.2. タイプ
高度なプロセス分離を提供するために、SELinux Targeted ポリシーで使用される主要なパーミッション制御方法は Type Enforcement です。すべてのファイルとプロセスにはタイプのラベルが付いています。タイプはプロセスの SELinux ドメインを定義し、ファイルの SELinux タイプを定義します。SELinux ポリシールールは、タイプにアクセスするドメインであるか、別のドメインにアクセスするドメインであるかにかかわらず、タイプが相互にアクセスする方法を定義します。アクセスは、それを許可する特定の SELinux ポリシールールが存在する場合にのみ許可されます。
samba_share_t
のタイプでファイルにラベルを付け、Samba がファイルを共有できるようにします。作成したファイルのみにラベルを付け、samba_share_t
のタイプでシステムファイルに再ラベル付けしないでください。ブール値を有効にすると、このようなファイルおよびディレクトリーを共有できます。/etc/samba/smb.conf
ファイルおよび Linux のパーミッションが設定されていれば、samba_share_t
タイプでラベル付けされたファイルに書き込むことができます。
samba_etc_t
タイプは、/etc/samba/
ディレクトリーの特定のファイル (smb.conf
など) で使用されます。samba_etc_t
の種類でファイルに手動でラベルを付けないでください。このディレクトリーのファイルにラベルが正しく設定されていない場合は、root ユーザーになり、restorecon -R -v /etc/samba を実行してファイルをデフォルトコンテキストに戻します。/etc/samba/smb.conf
にsamba_etc_t
タイプを指定しないと、Samba の起動に失敗し、SELinux の拒否メッセージが記録される場合があります。以下は、/etc/samba/smb.conf
に httpd_sys_content_t
タイプのラベルが付いた拒否メッセージの例になります。
setroubleshoot: SELinux is preventing smbd (smbd_t) "read" to ./smb.conf (httpd_sys_content_t). For complete SELinux messages. run sealert -l deb33473-1069-482b-bb50-e4cd05ab18af