8.9 ネットワークのアクセス制御設定

8.9.1 allownet

1. シンタックス
   1. allownet;
   2. allownet -connect;
   3. allownet -raw;
   4. allownet -netlink;
   5. allownet -wellknown;
   6. allownet (-tcp$\mid$-udp) -port port number;
   7. allownet (-tcp$\mid$-udp) -allport;
2. 意味
   これらはネットワークの取り扱いに関連しています。
   1. tcp/ipネットワークの使用を許可します。これはtcp、udpソケット、1024番以上のポートの使用を含んでいます。ネットワーク接続を開始することは許可されていないことに注意して下さい。ネットワーク接続を許可するには、allownet -connectを使用して下さい。ウェルノウンポートの使用は許可されていません。
   2. ネットワーク接続を許可します。SELinuxにおけるname_connect とconnectパーミッションを使用することを意味します。
   3. rawソケットの使用を許可します。ICMPを使う場合、rawソケットの使用が必 要になります。
   4. netlinkソケットの使用を許可します(カーネルとの通信に使用されます)。
   5. このパーミッションは現在使用されていません。よって、何も動作しません。互換性を保つために残されているだけです。
   6. ウェルノウンポートを使用したい場合、これによってポート番号を予約します。
      • 例)
        {
        domain httpd_t;
        allownet -tcp 80;
        ...
        httpd_tはtcp80番ポートを予約し、使用できるようにしています。
        

   7. 予約されていないウェルノウンポートの使用を許可します。
3. 制約
   これらは一度宣言されると取り消すことができません。globalドメインで設定 する場合は、慎重に設定して下さい。globalドメインでこれらを使用する場合、すべてのドメインにアクセス権限が明記され、各々のドメインでdenyできなくなります。