4.3. Boolean
SELinux は実行するサービスに必要な最小限レベルのアクセスに基づいています。サービスの実行手段は複数あるため、サービスをどのように実行するのかを SELinux に指示する必要があります。 次の Boolean を使って Samba の動作方法を SELinux に指示します。
allow_smbd_anon_write- この Boolean を有効にすると、 特殊なアクセス制限がなく共通ファイル用に予約されている領域など、 パブリックディレクトリへの
smbdによる書き込みが許可されます。 samba_create_home_dirs- この Boolean を有効にすると、 Samba が単独で新規ホームディレクトリを作成できるようになります。 PAM などのようなメカニズムで有効にされることが多くあります。
samba_domain_controller- この Boolean を有効にすると、 ドメインコントローラとして Samba を動作させ、
useradd、groupadd、passwdなどの関連コマンドの実行パーミッションを付与することができます。 samba_enable_home_dirs- この Boolean を有効にすると、 Samba によるユーザーのホームディレクトリ共有が可能になります。
samba_export_all_ro- あらゆるファイルやディレクトリをエクスポートし、 読み取り専用のパーミッションを付与します。 これにより、
samba_share_tタイプのラベルが付いていないファイルやディレクトリを Samba で共有できるようにします。samba_export_all_roBoolean はオンになっているが、samba_export_all_rwBoolean がオフになっている場合、/etc/samba/smb.confで書き込みアクセスが設定され Linux パーミッションでも書き込みアクセスが許可されていても、 Samba 共有への書き込みアクセスは拒否されます。 samba_export_all_rw- あらゆるファイルやディレクトリをエクスポートし、 読み取りと書き込みのパーミッションを付与します。 これにより、
samba_share_tタイプのラベルが付いていないファイルやディレクトリを Samba でエクスポートできるようにします。/etc/samba/smb.confのパーミッションおよび Linux パーミッションを設定して書き込みアクセスを許可する必要があります。 samba_run_unconfined- この Boolean を有効にすると、Samba による /var/lib/samba/scripts ディレクトリ内の制限のないスクリプトの実行を許可します。
samba_share_fusefs- Samba に fusefs ファイルシステムを共有させる場合は、 この Boolean を有効にする必要があります。
samba_share_nfs- この Boolean を無効にすることで、 Samba を介した NFS 共有への完全アクセスを
smbdに与えないようにします。 この Boolean を有効にすると、 Samba による NFS ファイルシステムの共有が許可されます。 use_samba_home_dirs- Samba のホームディレクトリ用にリモートサーバーを使用する場合、この Boolean を有効にします。
virt_use_samba- 仮想マシンによる CIFS ファイルへのアクセスを許可します。
