8.18 allowpriv

• 書式
  allowpriv net$\mid$boot$\mid$quotaon$\mid$ swapon$\mid$mount $\mid$rawio$\mid$ptrace$\mid$chroot$\mid$unlabel $\mid$memlock$\mid$nice$\mid$resource$\mid$ time$\mid$devcreate$\mid$setattr$\mid$search$\mid$read $\mid$write$\mid$all
• 意味
  他の特権を与えます。
  1. net
     CAP_NET_ADMIN(例：NIC管理、ルーティングテーブル管理)ケイパビリティを許可します。
  2. boot
     CAP_SYS_BOOTケイパビリティを許可します。システムコール rebootの使用を許可することを意味します。ただし、このケイパ ビリティを持っていなくとも、rebootコマンドは使えてしまいま す。rebootコマンドによるリブートを制限する場合は、/dev/initctlへのアクセスを制御します。
  3. insmod
     CAP_SYS_MODULEケイパビリティを許可します。カーネルモジュールのインストールを許可することを意味します。
  4. quotaon
     quotaonを許可します。
  5. swapon
     swaponを許可します。
  6. mount
     デバイスのマウントを許可します。
  7. rawio
     CAP_SYS_RAWIOケイパビリティを許可します。ioperm、ioplシステムコールの使用と/dev/memへのアクセスを許可することを意味します。
  8. ptrace
     ptraceの使用を許可します。
  9. chroot
     chrootの使用を許可します。
  10. unlabel
      ラベル付けが設定されていないもしくはラベル付けが壊れたファ イル(labeled unlabeled_tタイプが付与されたファイル)にフル アクセス権限を与えます。
  11. memlock
      ケーパビリティCAP_IPC_LOCKと同じです。メモリをロッ クし，スワップされないようにする権限です。
  12. nice
      ケーパビリティ CAP_SYS_NICEと同じです。プロセスの nice値を変更する権限です。
  13. resource
      ケーパビリティ CAP_SYS_RESOURCEと同じです。 rlimitを利用してリソース上限を変更するなどの権限を与えます。
  14. time
      ケーパビリティ CAP_SYS_TIMEと同じです。システムク ロックの変更を許可します。
  15. devcreate
      書き込み可能なディレクトリにデバイスファイルを作成する権限 を与えます。これを忘れるとたとえ書き込み可能に設定されたディ レクトリであってもデバイスファイルを作成することができませ ん。
  16. setattr
      通常setattr(所有者、更新時間などファイルの属性を変更)は，w パーミッションの中で許可されていますが，これを使うとs パー ミッションが許可されたファイルに対して「setattr」を許可し ます。 書き込みはしないが、setattrアクセスだけを要求する場 合に使います。通常はlogin_t,gdm_tドメインにのみ使います。
  17. search
      sパーミッションをすべてのファイルに許可します。
  18. read
      rパーミッションをすべてのファイルに許可します。
  19. write
      wパーミッションをすべてのファイルに許可します。
  20. all
      何もかもすべてを許可します!!

8.18.1 出力されるSELinuxの設定

allowkernel,allowseop,allowprivによって許可されるSELinuxのポリシを知るに は，macros/seedit_macros.teにあるallow_admin_xxxx マクロを見るとよい でしょう。例えば， allowkernel klog_adm を記述することで許可され る設定を知るには，allow_admin_klog_admを見ます。