19.2. タイプ
高度なプロセス分離を提供するために、SELinux Targeted ポリシーで使用される主要なパーミッション制御方法は Type Enforcement です。すべてのファイルとプロセスにはタイプのラベルが付いています。タイプはプロセスの SELinux ドメインを定義し、ファイルの SELinux タイプを定義します。SELinux ポリシールールは、タイプにアクセスするドメインであるか、別のドメインにアクセスするドメインであるかにかかわらず、タイプが相互にアクセスする方法を定義します。アクセスは、それを許可する特定の SELinux ポリシールールが存在する場合にのみ許可されます。
Squid では、以下のタイプが使用されます。異なるタイプを使用すると、柔軟なアクセスを設定できます。
httpd_squid_script_exec_t
- このタイプは、
cachemgr.cgi
などのユーティリティーに使用されます。このユーティリティーは、Squid とその設定に関するさまざまな統計情報を提供します。 squid_cache_t
/etc/squid/squid.conf
のcache_dir
ディレクティブで定義されているように、Squid によりキャッシュされるデータにこのタイプを使用します。初期設定では、/var/cache/squid/
ディレクトリーおよび/var/spool/squid/
ディレクトリーに作成またはコピーされるファイルには、squid_cache_t
タイプに応じたラベルが付けられています。/var/squidGuard/
ディレクトリーで作成またはコピーされるsquid
用の squidGuard URL リダイレクタープラグインのファイルには、squid_cache_t
タイプのラベルも付いています。Squid は、キャッシュされたデータに対して、このタイプのラベルが付いたファイルおよびディレクトリーのみを使用できます。squid_conf_t
- このタイプは、Squid が設定に使用するディレクトリーおよびファイルに使用されます。既存ファイル、または
/etc/squid/
ディレクトリーおよび/usr/share/squid/
ディレクトリーで作成またはコピーされたファイルには、エラーメッセージやアイコンなどを含む、このタイプのラベルが付けられています。 squid_exec_t
- このタイプは、
squid
のバイナリー (/usr/sbin/squid
) に使用されます。 squid_log_t
- このタイプはログに使用されます。既存のファイル、
/var/log/squid/
または/var/log/squidGuard/
に作成またはコピーされたファイルには、この種類のラベルを付ける必要があります。 squid_initrc_exec_t
- このタイプは、
/etc/rc.d/init.d/squid
にあるsquid
を起動するために必要な初期化ファイルに使用されます。 squid_var_run_t
- このタイプは、
/var/run/
ディレクトリーのファイル、とりわけ/var/run/squid.pid
という名前のプロセス ID (PID) で使用されます。この PID は、実行時に Squid により作成されます。