Next: 8.15 その他システム管理に関するアクセス制御
Up: 8 単純化ポリシー記述言語の仕様
Previous: 8.13 Configuring access control
Contents
- 書式
- allowfs name_of_filesystem [s],[r],[x],[w];
For name_of_filesystem tmpfs sysfs autofs usbfs cdfs romfs
ramfs dosfs smbfs nfs proc proc_kmsg proc_kcore xattrfs can be
used.
- allowfs name_of_filesystem exclusive label;
- allowfs name_of_filesystem label [s],[r],[x],[w];
- allowfs name_of_filesystem -all [s],[r],[x],[w];
- 意味
- 指定されたファイルシステム上のファイルに対するアクセス制御
を設定します。例えば, allowfs proc s,r; という記述は,procファイルシステム上に
あるファイルに対して「s,r」というパーミッションを許可しま
す。アクセス拒否ログにファイルシステム名_tというログ
を発見したなら,allowfs文を使う必要があるでしょう。
- 以下は,より進んだ設定オプションです。これは,SELinuxのファイルタイプ遷移( file_type_auto_trans).設定です。 name_of_filesystemに作成されたファイルには, labelというタイプが付与されます。
なお name_of_filesystemにはtmpfsのみ指定可能です。
現バージョンのSELinuxでは,ファイルタイプ遷移がtmpfsでしかサポートされていないからで
す。
- ファイルタイプ遷移によってラベルが付与されたファイル全てのア
クセス制御を行います。 name_of_filesystemにはtmpfsのみ指定可能です。
- 注意
allowfs name_of_filesystem exclusive label;では,
label の名称は domain prefix_ name_of_filesystem_t. である必要があります。例えば,httpd_t
ドメインでの設定の場合, allowfs
tmpfs exclusive httpd_tmpfs_t.とします。
- name_of_filesystemに関する注意
- proc ファイルシステム
procファイルシステム(/proc以下にマウントされたファイル)に
対するアクセス制御はより細かく行われています。
proc_kmsg は, /proc/kmsg, proc_kcore
は /proc/kcoreに対するアクセス制御を意味します。そして,
procはその他のprocファイルシステム上のファイルを意味します。
- xattrfs
これは拡張属性をサポートしているが,SELinuxのラベルを使う
ように設定されていないファイルシステムを意味します。
例えば,USBメモリを非SELinuxマシンでext3ファイルシステムで
フォーマットしたとします。次に,USBメモリをSELinuxマシンに
マウントします。すると,xattrfs上のファイルとして認識され
ます。 allowfs xattrfs
<パーミッション>; を使う必要があります。
- cdfs
Iso9660 and UDFファイルシステムを意味します。
- dosfs
Windows上のファイルシステム(fat, vfat, ntfs)を意味します。
- smbfs
cifs,smbfsを意味します。
2005-09-01