第11章 システムロールを使用した SElinux の設定
11.1. selinux システムロールの概要
RHEL システムロールは、複数の RHEL システムをリモートで管理する一貫した設定インターフェイスを提供する Ansible ロールおよびモジュールの集合です。selinux システムロールでは、以下の操作が可能になります。
- SELinux ブール値、ファイルコンテキスト、ポート、およびログインに関連するローカルポリシーの変更を消去します。
- SELinux ポリシーブール値、ファイルコンテキスト、ポート、およびログインの設定
- 指定されたファイルまたはディレクトリーでファイルコンテキストを復元します。
- SELinux モジュールの管理
以下の表は、selinux システムロールで利用可能な入力変数の概要を示しています。
| ロール変数 | 説明 | CLI の代替手段 |
|---|---|---|
| selinux_policy | ターゲットプロセスまたは複数レベルのセキュリティー保護を保護するポリシーを選択します。 |
|
| selinux_state | SELinux モードを切り替えます。 |
|
| selinux_booleans | SELinux ブール値を有効または無効にします。 |
|
| selinux_fcontexts | SELinux ファイルコンテキストマッピングを追加または削除します。 |
|
| selinux_restore_dirs | ファイルシステムツリー内の SELinux ラベルを復元します。 |
|
| selinux_ports | ポートに SELinux ラベルを設定します。 |
|
| selinux_logins | ユーザーを SELinux ユーザーマッピングに設定します。 |
|
| selinux_modules | SELinux モジュールのインストール、有効化、無効化、または削除を行います。 |
|
rhel-system-roles パッケージによりインストールされる /usr/share/doc/rhel-system-roles/selinux/example-selinux-playbook.yml のサンプル Playbook は、Enforcing モードでターゲットポリシーを設定する方法を示しています。Playbook は、複数のローカルポリシーの変更を適用し、tmp/test_dir/ ディレクトリーのファイルコンテキストを復元します。
selinux ロール変数の詳細は、rhel-system-roles パッケージをインストールし、/usr/share/doc/rhel-system-roles/selinux/ ディレクトリーの README.md または README.html ファイルを参照してください。
関連情報
