SELinux
*SELiuxができること [#wf7248da]
あるプログラムにセキュリティーホールがあっても、
被害及ぶ範囲(プロセス用ドメイン)に限定させることができる
* やりたいこと [#c7a0e6e2]
デフォルトのアクセスポートを閉じる
内部ではMySQLのクラスタ用のポートを空けておく
*コマンド [#r1dc2fca]
**SELinuxの有効確認 [#s1bc6925]
getenforce
**SELinuxを一時的に解除 [#h1eda7b3]
setenforce Permissive
**SELinuxを有効 [#b9758c6d]
setenforce Enforcing
*Zコマンド [#lfb65565]
なにかとSELinuxはZオプションがつきます。
**lsコマンド [#c31a63ac]
ls -Z
**psコマンド [#zcff4fca]
ps -efZ
**ファイルの移動 [#w4bc9ce4]
ディレクトリごとに、コンテキストの定義があるので、
ファイル移動などしたあとは、restorecon コマンドで調整が必要なようです。
例
restorecon -R /var/www/html
***タイプの変更 [#lb0da51a]
例
chcon -R -t httpd_sys_rw_content_t /var/tmp/sample-cache
**本来のサービス提供用ポートじゃないポートで動作させる [#xe21f241]
例
semanage port -a -t ssh_port_t -p tcp 2022
*ログ [#d4f6e602]
SELinux で動作が拒否された場合、/var/log/audit/audit.log にログが出力されます。
*ポリシーファイル [#lfcdd2ff]
**ポリシーファイル作成準備 [#z5f48e47]
selinux-policy-devel selinux-policy-doc パッケージを導入しておきましょう。
例
sepolicy generate --application -n boltzmessenger_gateway boltzmessenger
*参考サイト [#w983d753]
http://blog.fenrir-inc.com/jp/2016/09/selinux.html
