ここでは、domainとファイルとの間のアクセス制御を設定することができます。画面を以下に示します。なお、2番目の画面は右のフレーム内をスクロールダウンした状態を示しています。
中央のフレームにはシステムのディレクトリ階層がツリー形式にて表示されます。このツリーにて特定のディレクトリを選択することで、右フレームにはそのディレクトリ内のサブディレクトリおよびファイルが一覧表示されます。一覧表示された各サブディレクトリ名あるいはファイル名の横には、r(読み取り)、w(書き込み)、x(実行)および、s(ディレクトリ閲覧・属性閲覧)( ファイルには「ディレクトリ閲覧」を示すチェックボックスは表示されません)を示すチェックボックスがあります。このチェックボックスが、domainがファイルに対して有している権限(パーミッション)を示しています。
SELinux Policy EditorにおけるファイルのACL設定は、global domain、動的ラベルファイルおよび、アクセス権限の優先順位という概念を基礎としています。
右のフレームに表示されるサブディレクトリおよびファイルは以下の規則に従って色分けされています。
色 | 意味 |
---|---|
黒 | 親ディレクトリの権限を継承しているファイルを示します。 |
青 | 親ディレクトリの権限を継承しているディレクトリを示します。 |
赤 | global domainにて権限が設定されていることを示します。 |
緑 | 現在編集中のdomainにて明示的に権限が設定されていることを示します。 |
黄 | global domainにて権限が設定されており、且つ現在編集中のdomainでも明示的に権限が設定されていることを示します。 |
最上位に存在する「デフォルト」と書かれた行は、domainがそのディレクトリに対して有している権限を示しています。「ok」が表示されている権限が許可されていることを示しています。基本的に、ディレクトリに許可されているアクセス権限は、その中に存在する各ファイルに対しても継承されます。また、「子ディレクトリに適用」カラムに「ok」が表示されている場合、サブディレクトリに対しても「デフォルト」行のアクセス権限が継承されることを示しています。
「デフォルト」行以下には、ディレクトリ内に存在するサブディレクトリ名およびファイル名が一覧表示されています。サブディレクトリに対するパーミッション設定では、「子ディレクトリに適用」カラムに「yes」および「no」のラジオボタンが表示されているのが判ります。「no」をチェックした場合、このサブディレクトリに対するパーミッション設定をその子ディレクトリに継承させないことを示し、「yes」をチェックした場合には、子ディレクトリに継承させることを示します。
global domainに対するパーミッション設定画面は、通常のdomainに対するパーミッション設定の画面と少し異なります。
global domainでは「deny」カラムとチェックボックスが用意されているのが判ります。このチェックボックスにチェックすることで、そのサブディレクトリあるいはファイルに対するアクセスを拒否することができます。ここでアクセス拒否を指定すると、そのサブディレクトリあるいはファイルに対しては他の如何なるdomainもアクセスができなくなります。一般のdomainからのアクセスを許可する為には、そのdomainのACL設定にて明示的にアクセスを許可する必要があります。global domainの「deny」チェックボックスを利用することで、重要なファイルを保護することができます。
一覧表示された各サブディレクトリあるいはファイル毎に「プロパティ」ボタンがあります。このボタンをクリックすることで、そのサブディレクトリあるいはファイルに対して何らかのアクセスが許可されているdomainの一覧が子ウィンドウにて表示されます。誤った設定がなされていないか確認することが可能です。
チェックボックスをクリックすることで、設定を編集することも可能です。「適用」ボタンをクリックすることで、設定が中間設定に反映されます。ファイルに対してアクセス権限を持っていないドメインは表示されませんが、「全てのドメインを表示」ボタンをクリックすると全てのドメインが表示されます。
現在のディレクトリに存在する可能性のある動的ラベルファイルの一覧が下方に表示されます。
この例では、現在のディレクトリ下にetc_runtimeという名のセキュリティラベルが付与されたファイルが存在する可能性があることを示しています。動的ラベルファイルには「c」というパーミッションが存在しているのが判ります。この「c」チェックボックスをチェックすることで、現在編集中のdomainが現在のディレクトリ下にファイルを作成した際に、同ファイルに対してそのセキュリティラベルが付与されるようになります。また通常のサブディレクトリやファイルと同様に、「プロパティ」ボタンをクリックすることで、動的ラベルファイルに対して何らかのアクセスが許可されているdomainの一覧を表示できます。
なお現在のディレクトリ下に、既に動的ラベルファイルの実体が作成されて実在している場合には、動的ラベルファイル名の下に一覧表示されます。これらのファイルはパーミッション設定チェックボックスを持たない為、すぐに判るはずです。
現在編集中のdomainに対して、現在のディレクトリ下にezclusiveファイルの作成を許可することができます。「make exclusive file」ボタンをクリックすると以下の子ウィンドウが開きます。
入力欄に対して動的ラベルファイルに付与するセキュリティラベル名を指定し、「OK」ボタンをクリックします。これにより、現在編集中のdomainが現在のディレクトリ下にファイルを作成した場合に、そのファイルには上記で指定したセキュリティラベルが付与されるようになります。
編集した設定を中間設定ファイルに反映させるには「適用」ボタンをクリックします。
「設定されたもの一覧」ボタンをクリックすることで、現在編集中のdomainに対する設定内容が一覧表示されます。この機能は、現在反映されている設定内容を表示する機能であり、編集中の設定内容は表示されないことに注意して下さい。
この一覧表示において、赤字はglobal domainでなされた設定を表します。赤字の「DENY」は、global domainにて明示的にアクセスを拒否していることを示します。黒字は、現在編集中のdomainでなされた設定を表します。