6.4. デフォルトマッピングの変更
Red Hat Enterprise Linux では、Linux ユーザーはデフォルトで SELinux の
__default__
ログインにマッピングされ、続いて、これは SELinux unconfined_u
ユーザーにマッピングされます。新規の Linux ユーザーと、SELinux ユーザーに特別にマッピングされていない Linux ユーザーをデフォルトで制限する場合は、semanage login コマンドを使用してデフォルトのマッピングを変更します。
たとえば、root で次のコマンドを入力すると、デフォルトのマッピングが
unconfined_u
から user_u
に変更されます。
~]#
semanage login -m -S targeted -s "user_u" -r s0 __default__
__default__
ログインが user_u
にマッピングされていることを確認します。
~]#
semanage login -l
Login Name SELinux User MLS/MCS Range Service
__default__ user_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
新しい Linux ユーザーを作成し、その SELinux ユーザーを指定しない場合、または既存の Linux ユーザーがログインし、semanage login -l の出力からの入力と一致しない場合は、
__default__
ログインと同様に、user_u
にマッピングされます。
デフォルトの動作に戻すには、root で次のコマンドを実行します。次に示すように、SELinux
unconfined_u
ユーザーに __default__
ログインをマッピングします。
~]#
semanage login -m -S targeted -s "unconfined_u" -r s0-s0:c0.c1023 __default__