5.3. 分析した SELinux 拒否の修正

ラベル付けの問題の一般的な原因として、非標準ディレクトリーがサービスに使用される場合が挙げられます。たとえば、管理者が、Web サイト /var/www/html/ ではなく、/srv/myweb/ を使用したい場合があります。Red Hat Enterprise Linux では、/srv ディレクトリーには var_t タイプのラベルが付けられます。/srv で作成されるファイルおよびディレクトリーは、このタイプを継承します。また、/myserver などの最上位のディレクトリーに新規作成したオブジェクトには、default_t タイプのラベルが付けられます。SELinux は、Apache HTTP Server (httpd) がこの両方のタイプにアクセスできないようにします。アクセスを許可するには、SELinux では、/srv/myweb/ のファイルが httpd からアクセス可能であることを認識する必要があります。

# semanage fcontext -a -t httpd_sys_content_t "/srv/myweb(/.*)?"

この semanage コマンドは、/srv/myweb/ ディレクトリーおよびその下のすべてのファイルおよびディレクトリーのコンテキストを SELinux ファイルコンテキストの設定に追加します。semanage ユーティリティーはコンテキストを変更しません。root で restorecon ユーティリティーを使用して変更を適用します。

# restorecon -R -v /srv/myweb

matchpathcon コマンドは、ファイルパスのコンテキストをチェックし、そのパスのデフォルトラベルと比較します。以下の例では、ラベルが間違っているファイルを含むディレクトリーにおける matchpathcon の使用方法を説明します。

$ matchpathcon -V /var/www/html/*
/var/www/html/index.html has context unconfined_u:object_r:user_home_t:s0, should be system_u:object_r:httpd_sys_content_t:s0
/var/www/html/page1.html has context unconfined_u:object_r:user_home_t:s0, should be system_u:object_r:httpd_sys_content_t:s0

この例では、index.html ファイルおよび page1.html ファイルに、user_home_t タイプのラベルが付けられています。このタイプは、ユーザーのホームディレクトリーのファイルに使用されます。mv コマンドを使用してホームディレクトリーからファイルを移動すると、ファイルに user_home_t タイプのラベルが付けられる場合があります。このタイプは、ホームディレクトリーの外に存在してはなりません。restorecon ユーティリティーを使用して、対象のファイルを正しいタイプに戻します。

# restorecon -v /var/www/html/index.html
restorecon reset /var/www/html/index.html context unconfined_u:object_r:user_home_t:s0->system_u:object_r:httpd_sys_content_t:s0

ディレクトリー下のすべてのファイルのコンテキストを復元するには、-R オプションを使用します。

# restorecon -R -v /var/www/html/
restorecon reset /var/www/html/page1.html context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:httpd_sys_content_t:s0
restorecon reset /var/www/html/index.html context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:httpd_sys_content_t:s0

サービスはさまざまな方法で実行できます。それを考慮するには、サービスをどのように運用するかを具体的に指定する必要があります。これは、実行時に SELinux ポリシーの一部を変更できるようにする SELinux ブール値を使用することで実現できます。これにより、SELinux ポリシーの再読み込みや再コンパイルを行わずに、サービスが NFS ボリュームにアクセスするのを許可するなどの変更が可能になります。また、デフォルト以外のポート番号でサービスを実行するには、semanage コマンドを使用してポリシー設定を更新する必要があります。

たとえば、Apache HTTP Server が MariaDB と接続するのを許可する場合は、httpd_can_network_connect_db のブール値を有効にします。

# setsebool -P httpd_can_network_connect_db on

-P オプションを指定すると、システムを再起動しても設定が保持されることに注意してください。

SELinux が特定のサービスへのアクセスを拒否した場合、getsebool と grep ユーティリティーを使用して、アクセスを許可するためのブール値が利用可能かどうかを確認します。たとえば、getsebool -a | grep ftp コマンドを使用して、FTP 関連のブール値を検索します。

$ getsebool -a | grep ftp
ftpd_anon_write --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_nfs --> off

ftpd_connect_db --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off

ブール値のリストを取得し、それらが有効か無効かを確認するには、getsebool -a コマンドを使用します。ブール値とその意味および状態のリストを取得するには、selinux-policy-devel パッケージをインストールし、root 権限で semanage boolean -l コマンドを実行します。

ポリシー設定によっては、サービスは特定のポート番号でのみ実行できます。ポリシーを変更せずにサービスが実行するポートを変更しようとすると、サービスが起動できなくなる可能性があります。たとえば、root で semanage port -l | grep http コマンドを実行して、http 関連のポートを一覧表示します。

# semanage port -l | grep http
http_cache_port_t              tcp      3128, 8080, 8118
http_cache_port_t              udp      3130
http_port_t                    tcp      80, 443, 488, 8008, 8009, 8443
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989

http_port_t ポートタイプは、Apache HTTP Server がリッスン可能なポートを定義します。この場合の TCP ポートは 80、443、488、8008、8009、および 8443 になります。管理者が httpd がポート 9876 (Listen 9876) でリッスンするように httpd.conf を設定しても、ポリシーがこれを反映するように更新されていない場合、次のコマンドは失敗します。

# systemctl start httpd.service
Job for httpd.service failed. See 'systemctl status httpd.service' and 'journalctl -xn' for details.

# systemctl status httpd.service
httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
   Active: failed (Result: exit-code) since Thu 2013-08-15 09:57:05 CEST; 59s ago
  Process: 16874 ExecStop=/usr/sbin/httpd $OPTIONS -k graceful-stop (code=exited, status=0/SUCCESS)
  Process: 16870 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE)

以下のような SELinux 拒否メッセージのログは、/var/log/audit/audit.log に記録されます。

type=AVC msg=audit(1225948455.061:294): avc:  denied  { name_bind } for  pid=4997 comm="httpd" src=9876 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket

httpd が http_port_t ポートタイプに追加されていないポートをリッスンできるようにするには、semanage port コマンドを使用して別のラベルをポートに割り当てます。

# semanage port -a -t http_port_t -p tcp 9876

-a オプションは新規レコードを追加します。-t オプションはタイプを定義し、-p オプションはプロトコルを定義します。最後の引数は、追加するポート番号です。

アプリケーションには、SELinux がアクセスを拒否する原因となるバグが含まれている可能性があります。また、SELinux のルールも進化させる必要があります。SELinux ポリシーに、特定の方法で実行されるアプリケーションに対するルールが欠けている場合、アプリケーションが期待どおりに動作しているにもかかわらず、アクセスが拒否される可能性があります。たとえば、PostgreSQL の新しいバージョンがリリースされた場合、現在のポリシーでは想定されていない動作を実行する可能性があり、本来許可されるべきアクセスが拒否される結果となる可能性があります。

このような状況では、アクセスが拒否された後に audit2allow ユーティリティーを使用して、アクセスを許可するカスタムポリシーモジュールを作成します。SELinux ポリシーに不足しているルールを報告するには Red Hat カスタマーポータル でサポートケースを提出します。selinux-policy コンポーネントについて言及して、audit2allow -w -a および audit2allow -a コマンドの出力を含めます。

アプリケーションが主要なセキュリティー特権を要求する場合、それはアプリケーションが侵害されている兆候である可能性があります。侵入検出ツールを使用して、このような疑わしい動作を検査します。

また、Red Hat カスタマーポータル の Solution Engine では、同じ問題または非常に類似する問題に関する記事が提供されます。ここでは、問題の解決策と考えられる方法が示されています。関連する製品とバージョンを選択し、selinux、avc などの SELinux 関連のキーワードと、ブロックされたサービスまたはアプリケーションの名前 (selinux samba など) を使用します。