Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

6.9. MLS でのセキュアな端末の定義

MLS ポリシーでセキュアでないとみなされる特定の端末からのログインを許可するには、それらの端末のタイプを /etc/selinux/mls/contexts/securetty_types ファイルに追加します。これは、MLS が一般的な端末タイプからのユーザーログインを禁止する場合に必要となります。

SELinux ポリシーは、ユーザーが接続している端末のタイプをチェックし、特定の SELinux アプリケーション (newrole など) の実行をセキュアな端末からのみ許可します。セキュアでない端末からこれを実行すると、Error: you are not allowed to change levels on a non secure terminal; のエラーが発生します。

/etc/selinux/mls/contexts/securetty_types ファイルは、MLS (Multi-Level Security) ポリシーのセキュアな端末を定義します。

ファイルのデフォルトコンテンツ: 

console_device_t
sysadm_tty_device_t
user_tty_device_t
staff_tty_device_t
auditadm_tty_device_t
secureadm_tty_device_t
警告

端末タイプをセキュアな端末リストに追加すると、システムがセキュリティーリスクにさらされる可能性があります。

前提条件

  • SELinux ポリシーが mls に設定されている。
  • すでにセキュアな端末から接続しているか、SELinux が Permissive モードである。

  • セキュリティー管理者権限が割り当てられている。以下のいずれかに割り当てます。

    • secadm_r ロール。
    • sysadm_secadm モジュールが有効になっている場合は、sysadm_r ロール。sysadm_secadm モジュールはデフォルトで有効になっています。
  • policycoreutils-python-utils パッケージがインストールされている。

手順

  1. 現在の端末タイプを確認します。 

    # ls -Z `tty`
root:object_r:user_devpts_t:s0 /dev/pts/0

    この出力例では、user_devpts_t が現在の端末タイプです。

  2. /etc/selinux/mls/contexts/securetty_types ファイルの新しい行に、関連する SELinux タイプを追加します。

  3. オプション: SELinux を enforcing モードに切り替えます。 

    # setenforce 1

検証

  • /etc/selinux/mls/contexts/securetty_types ファイルに追加した、以前はセキュアでなかった端末からログインします。
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る