6.6. アプリケーションを実行するユーザーに対するブール値
Linux ユーザーが、ホームディレクトリーや、書き込みアクセス権を持つ
/tmp
ディレクトリーでアプリケーション (ユーザーの権限を継承) を実行できないようにすると、欠陥のあるアプリケーションや悪意のあるアプリケーションが、ユーザーが所有するファイルを変更できなくなります。
ブール値はこの動作を変更するために使用でき、root として実行する必要がある
setsebool
ユーティリティーで設定されます。setsebool -P は永続的な変更を行います。システムを再起動しても変更を持続させない場合は、-P
オプションを使用しないでください。
guest_t
guest_t
ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp
でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]#
setsebool -P guest_exec_content off
xguest_t
xguest_t
ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp
でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]#
setsebool -P xguest_exec_content off
user_t
user_t
ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp
でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]#
setsebool -P user_exec_content off
staff_t
staff_t
ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp
でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]#
setsebool -P staff_exec_content off
staff_exec_content
のブール値を有効にし、staff_t
ドメインの Linux ユーザーを許可して、ホームディレクトリーおよび /tmp
でアプリケーションを実行するには、以下のコマンドを実行します。
~]#
setsebool -P staff_exec_content on