50.2.4. ディレクトリーまたはツリーへのアクセスの付与

標準の Linux DAC パーミッションと同様に、ターゲットデーモンには、ディレクトリーツリーを切り離すための SELinux パーミッションが必要です。これは、ディレクトリーとそのコンテンツが同じタイプを持つ必要があるという意味ではありません。ディレクトリーの読み取りアクセスを付与する root_t、tmp_t、usr_t など、多くのタイプがあります。これらのタイプは、機密情報を含まないディレクトリーや、広く読み取り可能にするディレクトリーに適しています。また、異なるコンテキストを持つよりセキュアなディレクトリーの親ディレクトリーに使用することもできます。

avc: denied メッセージを使用する場合は、ディレクトリートラバーサルで発生する一般的な問題がいくつかあります。たとえば、多くのプログラムは、操作に必要なものではなく、ログに拒否メッセージを生成する ls -l / と同等のコマンドを実行します。そのためには、local.te ファイルに dontaudit ルールを作成する必要があります。

AVC 拒否メッセージを解釈しようとする場合は、path=/ コンポーネントで誤作用しないようにしてください。このパスは、root ファイルシステム / のラベルに関連しません。これは、実際にはデバイスノード上のファイルシステムのルートに相対的です。たとえば、/var/ ディレクトリーが LVM (論理ボリューム管理)にあるとします。 ^[22]）デバイス /dev/dm-0。 デバイスノードは、メッセージ dev=dm-0 として識別されます。この例では path= / が LVM デバイス dm-0 の最上位に表示されますが、これはルートファイルシステムの指定 / と同じではありません。