9 SELinuxがサポートしないファイルシステムへのアクセス制御: allowfs

SELinuxは、拡張属性(xattr)をサポートするファイルシステムに対しては、ファ イル単位でアクセス制御を行うことが可能です。ext3,ext2,xfsなどはxattrを サポートしていますが、サポートしないファイルシステムもあります。 こういったファイルシステムに対しては、個々のファイル単位のアクセス制御 はできません。「ファイルシステムのファイル全体」に対するアクセス制御に なってしまいます(procファイルシステムについてはもう少し細かくできますが)。allowfsはそういったファイルシステム用の設定要素です。

• 書式
  1. allowfs name_of_filesystem [s],[r],[x],[w],[o],[a],[t],[c],[e];
     name_of_filesystemについては、 tmpfs sysfs autofs usbfs cdfs romfs ramfs dosfs smbfs nfs proc proc_kmsg proc_kcore xattrfsという文字列を利用可能。
• 意味
  
  1. 指定されたファイルシステムにあるファイルへのアクセスを許可 します。例えば、 allowfs sysfs s,r;は、sysfsファイルシステム上のファイル (普通は/sysfs以下)に 対して、s,rを許可します。 アクセス拒否ログの中に、filesystem名_tという名前の タイプを発見したら、allowfsを使う必要があるかもしれません。 例えば、sysfs_t への読み込みが拒否されたというログ を発見したら、allowfs sysfs s,r;と設定する必要がある でしょう。もっとも、自動生成コマンドがやってくれる仕事です が。

• name_of_filesystemについての注意点
  • procファイルシステム
    procファイルシステムについては、もう少し細かくできます。

    proc_kmsg とすると、/proc/kmsgを指定でき、proc_kcoreとす ると、/proc/kcoreを指定できます。 proc_pid_selfとすると、 /proc/pidにある、自ドメインに属するプロセス情報です。 proc_pid_otherは他ドメインに属するプロセス情報全てです。

  • xattrfs
    これは、xattrをサポートするファイルシステムにも関わらず、 SELinuxのラベルを使うように設定されていないファイルシステ ムを意味します。例えば、USBメモリを非SELinuxマシンでフォー マットして、マウントした場合が相当します。
  • cdfs
    iso9660およびudfファイルシステムを意味します。
  • dosfs
    vfat, fat, ntfsを意味します。
  • smbfs
    cifs, smbfsを意味します。