第10章 システムロールを使用した SElinux の設定
10.1. selinux
システムロールの概要
RHEL システムロールは、複数の RHEL システムをリモートで管理する一貫した設定インターフェイスを提供する Ansible ロールおよびモジュールの集合です。selinux
システムロールでは、以下の操作が可能になります。
- SELinux ブール値、ファイルコンテキスト、ポート、およびログインに関連するローカルポリシーの変更を消去します。
- SELinux ポリシーブール値、ファイルコンテキスト、ポート、およびログインの設定
- 指定されたファイルまたはディレクトリーでファイルコンテキストを復元します。
- SELinux モジュールの管理
以下の表は、selinux
システムロールで利用可能な入力変数の概要を示しています。
ロール変数 | 説明 | CLI の代替手段 |
---|---|---|
selinux_policy | ターゲットプロセスまたは複数レベルのセキュリティー保護を保護するポリシーを選択します。 |
|
selinux_state | SELinux モードを切り替えます。 |
|
selinux_booleans | SELinux ブール値を有効または無効にします。 |
|
selinux_fcontexts | SELinux ファイルコンテキストマッピングを追加または削除します。 |
|
selinux_restore_dirs | ファイルシステムツリー内の SELinux ラベルを復元します。 |
|
selinux_ports | ポートに SELinux ラベルを設定します。 |
|
selinux_logins | ユーザーを SELinux ユーザーマッピングに設定します。 |
|
selinux_modules | SELinux モジュールのインストール、有効化、無効化、または削除を行います。 |
|
rhel-system-roles
パッケージによりインストールされる /usr/share/doc/rhel-system-roles/selinux/example-selinux-playbook.yml
のサンプル Playbook は、Enforcing モードでターゲットポリシーを設定する方法を示しています。Playbook は、複数のローカルポリシーの変更を適用し、tmp/test_dir/
ディレクトリーのファイルコンテキストを復元します。
selinux
ロール変数の詳細は、rhel-system-roles
パッケージをインストールし、/usr/share/doc/rhel-system-roles/selinux/
ディレクトリーの README.md
または README.html
ファイルを参照してください。
関連情報