検索
サポートコンソール開発者トライアルの開始お問い合わせ

8.6. SELinux

download PDF

8.6.1. SELinux パッケージが Python 3 に移行

  • policycoreutils-python は、policycoreutils-python-utils パッケージおよび python3-policycoreutils パッケージに置き換えられました。
  • libselinux-python パッケージの機能は、python3-libselinux パッケージで提供されるようになりました。
  • setools-libs パッケージの機能は、python3-setools パッケージで提供されるようになりました。
  • libsemanage-python パッケージの機能は、python3-libsemanage パッケージで提供されるようになりました。

8.6.2. SELinux サブパッケージの変更点

  • libselinux-staticlibsemanage-staticlibsepol-static、および setools-libs-tcl が削除されました。
  • RHEL 8.0 および 8.1 では、setools-gui および setools-console-analyses は利用できません。RHEL 8.2 は、このサブパッケージを含む RHEL 8 の最初のマイナーバージョンです。

8.6.3. SELinux ポリシーの変更

init_t ドメインタイプは、RHEL 8 で無制限ではなくなりました。これにより、別の SELinux ラベル付けアプローチを使用するサードパーティーアプリケーションで問題が発生する可能性があります。

標準以外の場所における SELinux のラベル付けの問題を解決するために、このような場所に対して同等のファイルのコンテキストを設定できます。

  1. /my/apps および / ディレクトリーに対して、同等のファイルのコンテキストを設定します。 

    # semanage fcontext -a -e / /my/apps

  2. SELinux ポリシーのローカルカスタマイズを表示して、ファイルのコンテキストが同じであることを確認します。 

    # semanage fcontext -l -C

SELinux Local fcontext Equivalence

/my/apps = /

  3. /my/apps のコンテキストをデフォルトに戻すと、/ のコンテキストと同等になります。 

    # restorecon -Rv /my/apps
restorecon reset /my/apps context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:root_t:s0
restorecon reset /my/apps/bin context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:bin_t:s0
restorecon reset /my/apps/bin/executable context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:bin_t:s0

この方法では、標準以外の場所にインストールされた大部分のファイルとディレクトリーに正しいラベルが割り当てられます。これにより、正しくラベル付けされたプロセスが一部の実行可能ファイルによって開始されるようになります。

ファイルコンテキストの等価性を削除するには、次のコマンドを使用します。 

# semanage fcontext -d -e / /my/apps
  • 詳細は、semanage-fcontext man ページを参照してください。

8.6.4. SELinux ブール値の変更点

8.6.4.1. 新しい SELinux ブール値

今回の SELinux システムポリシーの更新により、以下のブール値が追加されました。

  • colord_use_nfs
  • deny_bluetooth
  • httpd_use_opencryptoki
  • logrotate_use_fusefs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • tor_can_onion_services
  • unconfined_dyntrans_all
  • use_virtualbox
  • virt_sandbox_share_apache_content
  • virt_use_pcscd

8.6.4.2. 削除された SELinux ブール値

RHEL 8 SELinux ポリシーは、以前のリリースで使用できた以下のブール値を提供しません。

  • container_can_connect_any
  • ganesha_use_fusefs

8.6.4.3. デフォルト値の変更

RHEL 8 では、以下の SELinux ブール値が、以前のリリースとは異なるデフォルト値に設定されます。

  • domain_can_mmap_files はデフォルトで off になりました。
  • httpd_graceful_shutdown はデフォルトで off になりました。
  • Mozilla_plugin_can_network_connect はデフォルトで on になりました。
  • named_write_master_zones はデフォルトで on になりました。

さらに、antivirus_use_jit および ssh_chroot_rw_homedirs のブール値の説明が変更になりました。

ブール値のリストとその意味を取得し、有効かどうかを調べるには、selinux-policy-devel パッケージをインストールして、以下のコマンドを実行します。 

# semanage boolean -l

8.6.5. SELinux ポートタイプの変更点

RHEL 8 SELinux ポリシーは、以下の追加ポートタイプを提供します。

  • appswitch_emp_port_t
  • babel_port_t
  • bfd_control_port_t
  • conntrackd_port_t
  • firepower_port_t
  • nmea_port_t
  • nsca_port_t
  • openqa_port_t
  • openqa_websockets_port_t
  • priority_e_com_port_t
  • qpasa_agent_port_t
  • rkt_port_t
  • smntubootstrap_port_t
  • statsd_port_t
  • versa_tek_port_t

ポートタイプ dns_port_t および ephemeral_port_t の定義が変更され、gluster_port_t ポートタイプが削除されました。

8.6.6. sesearch の使用方法の変更点

  • sesearch コマンドは、-C オプションを使用しなくなり、条件式を含める必要があります。

  • -T--type オプションが以下のように変更になりました。

    • -T--type_trans - type_transition ルールを検索します。
    • --type_member - type_member ルールを検索します。
    • --type_change - type_change ルールを検索します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.