3.2. SELinux ユーザーのロールとアクセス権
SELinux ポリシーは、各 Linux ユーザーを SELinux ユーザーにマッピングします。これにより、Linux ユーザーは SELinux ユーザーの制限を継承できます。
ポリシーのブール値を調整することで、SELinux ポリシーの制限ユーザーの権限を、特定のニーズに合わせてカスタマイズできます。semanage boolean -l コマンドを使用すると、このブール値の現在の状態を確認できます。すべての SELinux ユーザー、その SELinux ロール、MLS および MCS のレベルと範囲をリスト表示するには、root として semanage user -l コマンドを使用します。
| ユーザー | デフォルトロール | 追加のロール |
|---|---|---|
|
|
|
|
|
|
| |
|
|
| |
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
|
|
system_u は、システムプロセスおよびオブジェクトの特別なユーザー ID であり、system_r は関連付けられたロールであることに注意してください。管理者は、この system_u ユーザーと system_r ロールを Linux ユーザーに関連付けることはできません。また、unconfined_u および root は制限のないユーザーです。このため、これらの SELinux ユーザーに関連付けられたロールは、以下の表 SELinux ロールの種類とアクセス権 には含まれていません。
各 SELinux ロールは SELinux のタイプに対応しており、特定のアクセス権限を提供します。
| Role | 型 | X Window System を使用したログイン | su および sudo | ホームディレクトリーおよび /tmp (デフォルト) での実行 | ネットワーク |
|---|---|---|---|---|---|
|
|
| はい | はい | はい | はい |
|
|
| いいえ | いいえ | はい | いいえ |
|
|
| はい | いいえ | はい | Web ブラウザーのみ (Mozilla Firefox、GNOME Web) |
|
|
| はい | いいえ | はい | はい |
|
|
| はい |
| はい | はい |
|
|
| はい | はい | はい | |
|
|
| はい | はい | はい | |
|
|
| はい | はい | はい | |
|
|
| はい | はい | はい | |
|
|
| はい | はい | はい | |
|
|
|
| はい | はい | はい |
非管理者ロールの詳細は、「SELinux における制限のある非管理者ロール」 を参照してください。
管理者ロールの詳細は、「SELinux における制限のある管理者ロール」 を参照してください。
利用可能なロールの一覧を表示するには、seinfo -r コマンドを実行します。
$ seinfo -r
Roles: 14
auditadm_r
dbadm_r
guest_r
logadm_r
nx_server_r
object_r
secadm_r
staff_r
sysadm_r
system_r
unconfined_r
user_r
webadm_r
xguest_r
seinfo コマンドは、setools-console パッケージにより提供されることに注意してください。これは、デフォルトではインストールされません。
関連情報
-
selinux-policy-docパッケージとともにインストールされるseinfo(1)、semanage-login(8)、およびxguest_selinux(8)man ページ - ブール値を使用して SELinux 設定を変更する方法
