13,005
回編集
「設定 - SELinux」の版間の差分
ナビゲーションに移動
検索に移動
→ポリシーの設定
(→概要) |
|||
| 127行目: | 127行目: | ||
<br> | <br> | ||
== | == 各ソフトウェアのポリシー設定 == | ||
SELinuxを有効にしている場合、サービスが起動しない問題は、SELinuxポリシーによる制限が原因となる場合がある。<br> | SELinuxを有効にしている場合、サービスが起動しない問題は、SELinuxポリシーによる制限が原因となる場合がある。<br> | ||
SELinuxはセキュリティ上の観点から、プログラムが実行できるアクションを制限することがある。<br> | SELinuxはセキュリティ上の観点から、プログラムが実行できるアクションを制限することがある。<br> | ||
<br> | <br> | ||
まず、ポリシーファイルを作成するために必要なライブラリをインストールする。<br> | |||
# RHEL | |||
sudo dnf install checkpolicy policycoreutils-python | sudo dnf install checkpolicy policycoreutils-python | ||
# SUSE | |||
sudo zypper install checkpolicy python3-policycoreutils | |||
<br> | <br> | ||
SELinuxのログを確認する。<br> | SELinuxのログを確認する。<br> | ||
| 140行目: | 144行目: | ||
sudo tail -f /var/log/audit/audit.log | sudo tail -f /var/log/audit/audit.log | ||
<br> | <br> | ||
次に、ポリシーモジュール(TEファイル : Type Enforcement)とポリシーパッケージファイル (PPファイル : Policy Package) ファイルを作成する。<br> | |||
TEファイルとは、特定のドメインに対する全てのタイプとルールを定義するものである。<br> | TEファイルとは、特定のドメインに対する全てのタイプとルールを定義するものである。<br> | ||
sudo grep <サービス名> /var/log/audit/audit.log | audit2allow -M <任意のポリシーファイル名> | sudo grep <サービス名> /var/log/audit/audit.log | audit2allow -M <任意のポリシーファイル名> | ||
| 147行目: | 151行目: | ||
checkmodule -M -m -o <任意のポリシーモジュール名>.mod <任意のポリシーモジュール名>.te | checkmodule -M -m -o <任意のポリシーモジュール名>.mod <任意のポリシーモジュール名>.te | ||
<br> | <br> | ||
または、TEファイルから直接ポリシーパッケージファイル(.pp拡張子)を生成することもできる。<br> | |||
make -f /usr/share/selinux/devel/Makefile | make -f /usr/share/selinux/devel/Makefile | ||
<br> | <br> | ||