6.6. アプリケーションを実行するユーザーに対するブール値
Linux ユーザーが、ホームディレクトリーや、書き込みアクセス権を持つ
/tmp ディレクトリーでアプリケーション (ユーザーの権限を継承) を実行できないようにすると、欠陥のあるアプリケーションや悪意のあるアプリケーションが、ユーザーが所有するファイルを変更できなくなります。
ブール値はこの動作を変更するために使用でき、root として実行する必要がある
setsebool ユーティリティーで設定されます。setsebool -P は永続的な変更を行います。システムを再起動しても変更を持続させない場合は、-P オプションを使用しないでください。
guest_t
guest_t ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]# setsebool -P guest_exec_content offxguest_t
xguest_t ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]# setsebool -P xguest_exec_content offuser_t
user_t ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]# setsebool -P user_exec_content offstaff_t
staff_t ドメイン内の Linux ユーザーによる、ホームディレクトリーおよび /tmp でのアプリケーションの実行を阻止するには、次のコマンドを実行します。
~]# setsebool -P staff_exec_content offstaff_exec_content のブール値を有効にし、staff_t ドメインの Linux ユーザーを許可して、ホームディレクトリーおよび /tmp でアプリケーションを実行するには、以下のコマンドを実行します。
~]# setsebool -P staff_exec_content on