動的ラベルファイル


SELinux Policy Editorでは動的ラベルファイルという特殊なファイル概念があります。これは、SELinuxのfile_type_auto_transマクロによる設定に相当します。プロセスがその稼動中に動的に作成するファイル等は、静的にディスク上に存在するファイルのように予めセキュリティラベルを付与しておくことはできません。例えばWebサーバであるhttpdは、その起動時に/var/run/httpd.pidというファイルを作成します。基本的に、作成されるファイルはその親ディレクトリの権限を継承する為、/var/runディレクトリの権限が継承されることになります。これでは/var/run/httpd.pidに対して独自のパーミッションを与えることができません。そこで、動的ラベルファイルという概念の登場です。httpdが、ディレクトリ/var/run下に作成するファイルは動的ラベルファイルであるという指定をしておきます。こうすることで、httpdがディレクトリ/var/run下に作成するファイルに対して、システムは独自のセキュリティラベルを付与します。当然、このセキュリティラベルを有したファイルに対するアクセスが明示的に許可されていないプロセスは、手も足も出ないことになります。

domainが1つのディレクトリに対して定義可能な動的ラベルファイルは1つだけです。


閉じる