3.2. SELinux ユーザーのロールとアクセス権
SELinux ポリシーは、各 Linux ユーザーを SELinux ユーザーにマッピングします。これにより、Linux ユーザーは SELinux ユーザーの制限を継承できます。
ポリシーのブール値を調整することで、SELinux ポリシーの制限ユーザーの権限を、特定のニーズに合わせてカスタマイズできます。semanage boolean -l
コマンドを使用すると、このブール値の現在の状態を確認できます。すべての SELinux ユーザー、その SELinux ロール、MLS および MCS のレベルと範囲をリスト表示するには、root
として semanage user -l
コマンドを使用します。
User | デフォルトロール | 追加のロール |
---|---|---|
|
|
|
|
| |
|
| |
|
| |
|
|
|
| ||
| ||
|
| |
|
|
|
| ||
| ||
|
|
system_u
は、システムプロセスおよびオブジェクトの特別なユーザー ID であり、system_r
は関連付けられたロールであることに注意してください。管理者は、この system_u
ユーザーと system_r
ロールを Linux ユーザーに関連付けることはできません。また、unconfined_u
および root
は制限のないユーザーです。このため、これらの SELinux ユーザーに関連付けられたロールは、以下の表 SELinux ロールの種類とアクセス権 には含まれていません。
各 SELinux ロールは SELinux のタイプに対応しており、特定のアクセス権限を提供します。
Role | タイプ | X Window System を使用したログイン | su および sudo | ホームディレクトリーおよび /tmp (デフォルト) での実行 | ネットワーク |
---|---|---|---|---|---|
|
| はい | はい | はい | はい |
|
| いいえ | いいえ | はい | いいえ |
|
| はい | いいえ | はい | Web ブラウザーのみ (Mozilla Firefox、GNOME Web) |
|
| はい | いいえ | はい | はい |
|
| はい |
| はい | はい |
|
| はい | はい | はい | |
|
| はい | はい | はい | |
|
| はい | はい | はい | |
|
| はい | はい | はい | |
|
| はい | はい | はい | |
|
|
| はい | はい | はい |
非管理者ロールの詳細は、SELinux における制限のある非管理者ロール を参照してください。
管理者ロールの詳細は、SELinux における制限のある管理者ロール を参照してください。
利用可能なロールの一覧を表示するには、seinfo -r
コマンドを実行します。
$ seinfo -r
Roles: 14
auditadm_r
dbadm_r
guest_r
logadm_r
nx_server_r
object_r
secadm_r
staff_r
sysadm_r
system_r
unconfined_r
user_r
webadm_r
xguest_r
seinfo
コマンドは、setools-console
パッケージにより提供されることに注意してください。これは、デフォルトではインストールされません。
関連情報
-
selinux-policy-doc
パッケージとともにインストールされるseinfo(1)
、semanage-login(8)
、およびxguest_selinux(8)
man ページ - ブール値を使用して SELinux 設定を変更する方法