SELinux *SELiuxができること [#wf7248da] あるプログラムにセキュリティーホールがあっても、 被害及ぶ範囲(プロセス用ドメイン)に限定させることができる * やりたいこと [#c7a0e6e2] デフォルトのアクセスポートを閉じる 内部ではMySQLのクラスタ用のポートを空けておく *コマンド [#r1dc2fca] **SELinuxの有効確認 [#s1bc6925] getenforce **SELinuxを一時的に解除 [#h1eda7b3] setenforce Permissive **SELinuxを有効 [#b9758c6d] setenforce Enforcing *Zコマンド [#lfb65565] なにかとSELinuxはZオプションがつきます。 **lsコマンド [#c31a63ac] ls -Z **psコマンド [#zcff4fca] ps -efZ **ファイルの移動 [#w4bc9ce4] ディレクトリごとに、コンテキストの定義があるので、 ファイル移動などしたあとは、restorecon コマンドで調整が必要なようです。 例 restorecon -R /var/www/html ***タイプの変更 [#lb0da51a] 例 chcon -R -t httpd_sys_rw_content_t /var/tmp/sample-cache **本来のサービス提供用ポートじゃないポートで動作させる [#xe21f241] 例 semanage port -a -t ssh_port_t -p tcp 2022 *ログ [#d4f6e602] SELinux で動作が拒否された場合、/var/log/audit/audit.log にログが出力されます。 *ポリシーファイル [#lfcdd2ff] **ポリシーファイル作成準備 [#z5f48e47] selinux-policy-devel selinux-policy-doc パッケージを導入しておきましょう。 例 sepolicy generate --application -n boltzmessenger_gateway boltzmessenger *参考サイト [#w983d753] http://blog.fenrir-inc.com/jp/2016/09/selinux.html