PR

booleanパラメータで対処可能なもの

 拒否されたアクセスをbooleanパラメータで許可できれば,それに起因するトラブルも解決できる。前述のように,このbooleanパラメータで解決できるトラブルは,パターンが決まっている。ほぼ,表4に示したパターンのみ解決できると考えてよい。

表4●booleanパラメータで解決可能なトラブル一覧
表4●booleanパラメータで解決可能なトラブル一覧
[画像のクリックで拡大表示]

 実際に,booleanパラメータを切り替える例を示そう。「Sambaでホーム・ディレクトリを公開できない」という問題を「samba_enable_home_dirs」のon/offを切り替えて対処する。

 まず,現在のbooleanパラメータの設定を見てみよう。これには「getsebool」コマンドを使う。


# getsebool samba_enable_home_dirs 
samba_enable_home_dirs -->off

このように,offになっている。ちなみにすべてのbooleanパラメータの設定状況を調べるには,「getsebool -a」と実行する。

 booleanパラメータを設定するにはsetseboolコマンドを使う。次のような書式になる。


setsebool -P <パラメータ>
<1または0(1でon,0でoffに設定)>

-Pオプションを忘れると,システムの再起動時にbooleanパラメータがデフォルト値にリセットされてしまうので気を付ける。samba_enable_home_dirsを次のようにonに切り替えよう。


# setsebool -P samba_enable_home_dirs 1

onに切り替わったことを確認する。


# getsebool samba_enable_home_dirs
samba_enable_home_dirs -->on

 再度Windowsマシンから,ユーザの共有ディレクトリにアクセスしてみよう。今度はアクセスできるはずだ。

セキュリティを調整する

 booleanパラメータはセキュリティの調整にも使える。表4を見ると,Apacheに関連するbooleanパラメータは緩めに設定してある。一番大きな問題は,「httpd_builtin_scripting」がonになっていることだ。Apacheのドメインhttpd_tは,Webページに関するすべてのコンテンツに読み書き可能に設定されている。PHPを容易に動作させるためだが,Apacheが乗っ取られた場合には,Webページを改ざんされてしまう可能性がある。PHPを使わないのなら,offにすべきだ。

 次回は,ポリシーに手を加えず問題を解決する方法の続きとして,タイプの管理方法を紹介する予定である。