7.1 vsftpdの設定

デーモンの設定例として、単純化ポリシを用いてvsftpdを設定してみましょう。 ここでは、Anonymous ftpアクセスができるまでのポリシーを設定することを目 標にします。
デフォルトでは、vsftpdドメインはinitrc_tです。 initrc_tはetc/rc.d以下の起動スクリプト用ドメインです。vsftpdは、/etc/rc.d/init.d/vsftpd(ドメインはinitrc_t)によって実行され、ドメインを継承します。
しかし、以上の動作は安全ではありません。なぜなら、initrc_tは多くのアクセス権限を持っているからです。(/etc/selinux/seedit/src/policy/simplified_policy/initrc_t.aを御覧下さい)。
以下，カレントディレクトリは/etc/selinux/seedit/src/policyであ り、permissiveモードに切替えていることを前提とします。

login: root
....
# newrole -r sysadm_r
# id -Z
root:sysadm_r:sysadm_t
# cd  /etc/selinux/seedit/src/policy
# setenforce 0

また，シンタックスの詳細については、8を御覧下さい。

7.1.1 vsftpd用ドメインの作成

それではvsftpdにvsftpd_tドメインを与えてみましょう。

1. 設定ファイルの作成
   simplified_policy/vsftpd_t.aを作成します。
2. ドメイン遷移の設定
   simplified_policy/vsftpd_t.aに以下に示す内容を記述して下さい。

   # simplified_policy/vsftpd_t.a
   {
   domain vsftpd_t;
   domain_trans initrc_t /usr/sbin/vsftpd;
   }
   

   2行目でvsftpd_tドメインを定義しています。3行目でドメイン遷移を設定しています。ここで、親ドメインはinitrc_tであり、エントリポイントは/usr/sbin/vsftpdです。

7.1.2 ドメイン遷移テスト

設定を編集したら、makeコマンドを実行しなければなりません。これは設定の変 更をカーネルに伝えるためです(5.3を参照して下さい)。この 場合、以下の様にタイプします。

# make diffrelabel

多くの場合、make diffrelabelで十分です。
そして、vsftpdを再起動させてvsftpdのドメインをチェックします。

# /etc/init.d/vsftpd restart
# ps -eZ
...
root:system_r:vsftpd_t          13621 pts/1    00:00:00 vsftpd
...

以上のようにするとvsftpdドメインがvsftpd_tになったことを確認でき ます。ドメイン遷移の設定がうまくいったことが分かりました。

7.1.3 vsftpdに関連したファイルの保護

vsftpdに関連したファイルの保護を行います。
vsftpdドメインに関連したファイルを保護したいなら、globalにおいてdenyするのが一番良い方法です。この方法を用いて/etc/vsftpdと/var/ftpを保護してみましょう。simplified_policy/globalに以下に示す文を加えて下さい。{と }の間に書き加えなければならないことに注意して下さい。

# In simplifed_policy/global
deny /etc/vsftpd;
deny /var/ftp;

そして以下のコマンドを実行して下さい。

# make diffrelabel

その結果、他のドメインが/etc/vsftpdや/var/ftpにアクセスしようとするなら、 明示的にアクセスを許可しなければなりません。
例：httpd_tが/etc/vsftpdを読みたい場合、allow /etc/vsftpd r;という文がhttpd_tに記述されていなければなりません。allow /etc r;では、/etc/vsftpdはアクセス許可されてません。重要なファイルを区別するにはdenyは有用です。

7.1.4 vsftpd_tへのアクセス権限の付与

vsftpd_t用のデフォルトのアクセス権限は、simplified_policy/globalから継 承されています。ただ、それだけでは十分でなく、設定を追加しなければならな りません。最も良い方法は、permissiveモードでvsftpdをテストしてSELinuxの ログを参照し、どのようなアクセス権限が必要であるのかを見極めることです。 (この文章では過程については割愛しています。) 以下、vsftpd_t用ポリシです。

# simplifed_policy/vsftpd_t.a
     1  {
     2  domain vsftpd_t;
     3  domain_trans initrc_t /usr/sbin/vsftpd;
     4  # access to files related to vsftpd
     5  allow /etc/vsftpd r,s;
     6  allow /var/ftp r,s;
     7  allowonly /var/log r,w,s;
     8  # allow to communicate with syslog
     9  allow dev_log_t r,w,s;
    10  allowcom -unix syslogd_t;
    11  # allow to use tcp 20 and 21
    12  allownet;
    13  allownet -connect;
    14  allownet -tcp -port 20;
    15  allownet -tcp -port 21;
    16  #
    17  allowadm chroot;
    18  }

以上を記述した後に、以下のコマンドを実行して下さい。

# make diffrelabel

上の設定ファイルの中身を見てみましょう。

• 5行目から7行目
  これらはvsftpdに関連するファイルにアクセスするための設定です。5行目と6行目で、vsftpd設定ファイルとftpのpublicディレクトリを読むアクセス権限を与えています。
  7行目に注目して下さい。

  allowonly /var/log r,w,s;
  

  ここで、/var/log/xferlogに書き込み権限を与えたい場合、本来は以下の様にす るのが最適です。

  allow /var/log/xferlog r,w,s;
  

  しかし、/var/log/xferlogは管理者によって消去されるかもしれません。ファイ ルが再度生成された場合ラベル情報が失われてしまいます。 ²よって、/var/log/xferlogのアクセスを制御できません。そのため、 allowonly /var/log r,w,sとしているのです。vsftpd_tは/var/log以 下にあるすべてのファイルに書き込み権限を与えています。しかし、子 ディレクトリにあるファイルには書き込み権限を与えていません。これ は、allow /var/log r,w,s;よりは良いです。(この文は子ディレ クトリも含めて/var/log以下の全てのファイルに書き込みアクセス権限 を与えることを意味しています)。/tmp、/var/runも同様にファイル単位 でのアクセス制御ができません。これらのディレクトリではファイルが 消去、再生成されるため、SELinuxのラベル情報が失われる可能性がるか らです。
  SELinuxについて十分な知識があるならallow file exclusive label;が使えます。これはSELinuxのファイルのタイプ遷移を設定します。消去、再生成されるファイルのアクセス制御設定ができます。詳細については8.8.1を御覧下さい。
  

• 9、10行目
  syslogdで通信するためにあります。syslogdを用いて通信する場合は、この2行を必ず入れて下さい。

• 12行目から15行目
  tcp20番ポートと21番ポートを使って通信します。

7.1.5 initrc_tへのアクセス権限の付与

initrc_tは起動スクリプト(/etc/init.d/vsftpd)用のタイプです。initrc_tは /etc/vsftpdへ読み込み権限を必要とします。しかし、このファイルへのアクセスはglobalにおいて拒否されています。よって、明示的にallowしなければなりません。

#add to simplified_policy/initrc_t.a
allow /etc/vsftpd r,s;

以上を書き加えたら、以下のコマンドを実行して下さい。

# make diffrelabel

7.1.6 再テスト

permissiveモードにおいてテストをして、アクセスログを参照して下さい。denyが出力されていなければ、次にenforcingモードでも正常に動作するか確かめて下さい。