7.3. MCS でのカテゴリーラベルの定義
setrans.conf ファイルを編集することで、MCS カテゴリーのラベル、または MCS カテゴリーと MLS レベルの組み合わせをシステムで管理および維持できます。このファイルでは、SELinux は、内部の機密レベルとカテゴリーレベル、および人間が判読できるラベルとの間でマッピングを維持しています。
注記
カテゴリーラベルは、ユーザーがカテゴリーを使いやすくするためだけのものです。MCS は、ラベルを定義するかどうかに関係なく同じように機能します。
前提条件
-
SELinux モードが
Enforcingに設定されている。 -
SELinux のポリシーは
targetedまたはmlsに設定されている。 -
policycoreutils-python-utilsパッケージおよびmcstransパッケージがインストールされている。
手順
テキストエディターで
/etc/selinux/<selinuxpolicy>/setrans.confファイルを編集して、既存のカテゴリーを修正したり、カテゴリーを新たに作成したりできます。お使いの SELinux ポリシーに応じて、<selinuxpolicy> をtargetedまたはmlsに置き換えます。以下に例を示します。# vi /etc/selinux/targeted/setrans.confポリシーの
setrans.confファイルで、構文s_<security level>_:c_<category number>_=<category.name>を使用して、シナリオで必要なカテゴリーの組み合わせを定義します。以下に例を示します。s0:c0=Marketing s0:c1=Finance s0:c2=Payroll s0:c3=Personnel
-
カテゴリー番号は、
c0からc1023まで使用できます。 -
targetedポリシーでは、s0セキュリティーレベルを使用します。 -
mlsポリシーでは、機密レベルとカテゴリーの組み合わせにラベルを付けることができます。
-
カテゴリー番号は、
-
必要に応じて、
setrans.confファイル内で、MLS 機密レベルにラベルを付けることもできます。 - ファイルを保存し、終了します。
変更を有効にするには、MCS 変換サービスを再起動します。
# systemctl restart mcstrans
検証
現在のカテゴリーを表示します。
# chcat -L上の例の出力は、以下となります。
s0:c0 Marketing s0:c1 Finance s0:c2 Payroll s0:c3 Personnel s0 s0-s0:c0.c1023 SystemLow-SystemHigh s0:c0.c1023 SystemHigh
関連情報
-
setrans.conf(5)の man ページ
