6 ドメイン遷移

SELinuxでは、ドメインを付与するためにドメイン遷移を使います。SPDLは、 このドメイン遷移を詳細に設定するdomain_trans文および単純設定するprogram文 をサポートしています。

6.1 domain_trans

1. 書式
   domain_trans parent domain filename-of-entrypoint;
2. 意味
   parent domainのドメインで動作しているプロセスが、 filename-of-entrypoint実行ファイルを実行すると、ドメインが割り当 てられます。 parent domainおよび filename-of-entrypointは、カンマ区切りで列挙可能です。
3. 例
   

   {
      domain httpd_t;
      domain_trans initrc_t /sbin/httpd;
   ...
   

   initrc_tドメインで動作するプロセスが、/sbin/httpdを実行すると、 /sbin/httpdには、httpd_tドメインが割り当てられます。
4. 高度な設定
   Dynamic domain transitionも設定可能です。 以下のように filename-of-entrypointを省略します。
   

   {
   domain httpd_t;
   domain_trans initrc_t;
   

   initrc_tからhttpd_tへのdynamic domain transitionが許可されます。

6.2 単純なドメイン付与:program

1. 書式
   program path-to-program;
2. 意味
   path-to-programが、コマンドラインから起動されたり、 /etc/init.dから起動された時にドメインを割り当てる書式です。
   正確に言うと、unconfinedドメインから起動された時、ドメインが割り 当てられます。
   しかし、認証を伴うプログラムからドメインを割り当てる設定は、これ ではできません(su,login,sshdなど)。認証を伴うプログラムに使うドメ イン一覧は、converter.confの authentication_domainフィールドで列 挙されています。
   
3. 例
   1)

   {
   domain httpd_t;
   program /usr/sbin/httpd;
   }
   
   コマンドラインまたはシステム起動スクリプトから/usr/sbin/httpdを起動した
   		ら、/usr/sbin/httpdにはhttpd\_tドメインが割り当てられま
   			す。
   

4. 注意
   これは、unconfinedドメインが存在するポリシーのために用意された書 式です。unconfinedドメインが存在しない場合は、意味がなくなります。
   また、RBACが有効な場合は、sysadm_rロールのシェルから起動した場合 のみ、ドメインが割り当てられます。sysadm_rはunconfinedドメインだ からです。