PR

booleanパラメータで設定を調整

 ポリシーを変更せずにトラブルを解決したり,セキュリティ・レベルを調整したりするのに役立つのが,booleanパラメータだ。

 一般に,アプリケーションの種類によって,必要なアクセス権限は異なる。例えば,WebサーバーでユーザーごとのWebページを公開したい場合は,ホーム・ディレクトリへのアクセス権限が必要になる。

 そこで,用途に応じたカスタマイズが容易にできるよう,conditional policy(条件付きポリシー)という仕組みがSELinuxに組み込まれている。conditional policyは,booleanと呼ばれるパラメータ*2のon/offを設定することにより,ポリシーの設定を有効にしたり無効にしたりする仕組みである。設定を切り替え可能な項目が,あらかじめポリシー・ファイルに埋め込まれているため,ユーザーはポリシー・ファイルを編集しなくて済む。

 booleanパラメータを切り替えて,不要なアクセス許可を与えないようにしていけば,セキュリティを高められる。逆に,必要なアクセス許可をbooleanパラメータの切り替えで設定可能な場合は,トラブル解決にも役立つわけだ。

 重要なbooleanパラメータ一覧を表3に示す。

表3●主なbooleanパラメータの内容
表3●主なbooleanパラメータの内容
[画像のクリックで拡大表示]

 例えば,Sambaのホーム・ディレクトリのアクセスに関連するbooleanパラメータとして,「samba_enable_home_dirs」が用意されている(図3)。これが,onになっていると,Sambaサーバー(smbd)のドメインsmbd_tがホーム・ディレクトリのタイプ(user_home_t)に読み書きを許可される。

図3●Sambaのアクセス制御設定を切り替えるbooleanパラメータ
図3●Sambaのアクセス制御設定を切り替えるbooleanパラメータ
[画像のクリックで拡大表示]

 一方,offだとこの権限は許可されず,アクセス不可になる。