8.14 他の管理上のアクセス権限のアクセス制御設定

8.14.1 allowadm

1. シンタックス
   allowadm [relabel]$\mid$[part_relabel]$\mid$[getsecurity]$\mid$[setenforce]$\mid$[load_policy]$\mid$[net]$\mid$[boot] $\mid$[insmod]$\mid$[quotaon]$\mid$[swapon]$\mid$ [mount]$\mid$[raw_io]$\mid$[ptrace]$\mid$[chroot]$\mid$[search]$\mid$ [unlabel]$\mid$ [read] $\mid$ [write] $\mid$ [all];
2. 意味
   1. relabel
      すべてのファイルをrelabelすることを許可する。この時、getsecurityもallowしなければなりません。
   2. part_relabel
      そのドメインが書き込みできるファイルについてrelabelすることを許可する。この時、getsecurityをallowしなければなりません。
   3. getsecurity
      /selinuxにアクセスすることによって、SELinuxのアクセス制御情報を得ることを許可する。
   4. setenforce
      enforcingモードもしくはpermissiveモードの切り替えを許可します。
   5. load_policy
      カーネルに対してポリシのロードを許可します。
   6. net
      CAP_NET_ADMIN(例：NIC管理、ルーティングテーブル管理)ケイパビリティを許可します。
   7. boot
      CAP_SYS_BOOTケイパビリティを許可します。システムコール rebootの使用を許可することを意味します。ただし、このケイパ ビリティを持っていなくとも、rebootコマンドは使えてしまいま す。rebootコマンドによるリブートを制限する場合は、/dev/initctlへのアクセスを制御します。
   8. insmod
      CAP_SYS_MODULEケイパビリティを許可します。カーネルモジュールのインストールを許可することを意味します。
   9. quotaon
      quotaonを許可します。
   10. swapon
       swaponを許可します。
   11. mount
       デバイスのマウントを許可します。
   12. raw_io
       CAP_SYS_RAWIOケイパビリティを許可します。ioperm、ioplシステムコールの使用と/dev/memへのアクセスを許可することを意味します。
   13. ptrace
       ptraceの使用を許可します。
   14. chroot
       chrootの使用を許可します。
   15. unlabel
       (unlabeled_tもしくはfile_tのような)ラベル付けされていないファイルへのアクセスを許可します。これはまたサポートされていないファイルシステムへのアクセスも許可します。何がサポートされていないかについては、base_policy/genfs_contextsを御覧下さい。
   16. search
       sパーミッションをすべてのファイルに許可します。
   17. read
       rパーミッションをすべてのファイルに許可します。
   18. write
       wパーミッションをすべてのファイルに許可します。
   19. all
       何もかもすべてを許可します!!