SELinux
あるプログラムにセキュリティーホールがあっても、 被害及ぶ範囲(プロセス用ドメイン)に限定させることができる
デフォルトのアクセスポートを閉じる
内部ではMySQLのクラスタ用のポートを空けておく
getenforce
setenforce Permissive
setenforce Enforcing
なにかとSELinuxはZオプションがつきます。
ls -Z
ps -efZ
ディレクトリごとに、コンテキストの定義があるので、
ファイル移動などしたあとは、restorecon コマンドで調整が必要なようです。
例
restorecon -R /var/www/html
例
chcon -R -t httpd_sys_rw_content_t /var/tmp/sample-cache
例
semanage port -a -t ssh_port_t -p tcp 2022
SELinux で動作が拒否された場合、/var/log/audit/audit.log にログが出力されます。
selinux-policy-devel selinux-policy-doc パッケージを導入しておきましょう。
例
sepolicy generate --application -n boltzmessenger_gateway boltzmessenger