ウェブサイト検索

Apache の SELinux ブール値を有効/無効にする方法


SELinux または セキュリティ強化 Linux は、追加のレイヤーを追加するために Linux カーネルに実装された強制アクセス制御 (MAC) のセキュリティ メカニズムです。ファイル、プロセス、リソースへのアクセスを制御することで保護を強化します。

SELinux の 1 つの側面は、 さまざまなセキュリティ ポリシーを制御するスイッチであるブール値を管理することです。

この記事では、最適なセキュリティと機能を確保するために、特に RHEL ベースのディストリビューション上のApache の特定のSELinux ブール値を有効または無効にすることに焦点を当てます。

SELinux のブール値を理解する

SELinuxブール値は、特定のアクションを許可するか拒否するかを決定するオン/オフ スイッチのようなものです。これらのブール値を切り替えて、特定のセキュリティ ポリシーを有効または無効にすることができます。

Apache の場合、SELinux との対話を制御するいくつかのブール値があります。

Apache SELinux ブール値の有効化または無効化

すべての SELinux ブール値を表示するには、less コマンドと一緒にgetsebool コマンドを使用します。

getsebool -a | less

Apache プログラム (またはデーモン) のすべてのブール値を表示するには、grep ユーティリティで ‘getsebool’ コマンドを使用します。これにより、すべてのhttpd 関連のブール値がリストされます。

getsebool -a | grep httpd

一般的な Apache 関連の SELinux ブール値をいくつか示します。

  • httpd_can_network_connect: Apache がネットワーク接続を確立できるようにします。
  • httpd_can_network_connect_db: Apache がネットワーク経由でデータベースに接続できるようにします。
  • httpd_can_sendmail: Apache が電子メールを送信できるようにします。
  • httpd_enable_cgi: Apache が CGI スクリプトを実行できるようにします。
  • httpd_enable_homedirs: Apache がユーザーのホーム ディレクトリを読み取ることを許可します。

これらのブール値は、Apache と SELinux のやり取りのさまざまな側面を制御し、必要な機能を許可しながらセキュリティを維持するのに役立ちます。

ブール値を有効にするには、スイッチ「オン」または数値 (1) を使用します。ブール値を無効にするには、以下で説明するように setsebool コマンドを使用してスイッチ「オフ」または数値 (0) を使用します。

Apache のブール値を有効にする

システムに Web サーバーがインストールされている場合は、allow_httpd_sys_script_anon_write ブール値を有効にすることで、HTTPD スクリプトが public_content_rw_t というラベルの付いたディレクトリにファイルを書き込むことを許可できます。

getsebool allow_httpd_sys_script_anon_write 
setsebool -P allow_httpd_sys_script_anon_write on
OR
setsebool -P allow_httpd_sys_script_anon_write 1

setsebool コマンドの -P オプションにより、システムの再起動後も変更が維持されます。これは、一貫したセキュリティ ポリシーを維持するために重要です。

Apache のブール値を無効にする

同様に、上記の SELinux ブール値を無効またはオフにするには、次のコマンドを実行します。

setsebool allow_httpd_sys_script_anon_write off
setsebool allow_mount_anyfile off
OR
setsebool allow_httpd_sys_script_anon_write  0
setsebool allow_mount_anyfile  0

次のセキュリティ関連の記事を必ずお読みください。

  • SELinux を一時的または永続的に無効にする方法
  • SELinux による必須のアクセス制御の要点
  • Linux サーバーの強化に役立つ 20 のセキュリティに関するヒント

SELinux ブール値 は、Linux システム上のセキュリティ ポリシーを制御する柔軟な方法を提供します。 Apache の場合、特定のブール値を有効または無効にすることで、必要な機能を許可しながらセキュリティを強化できます。

これらのブール値の管理方法を理解することで、管理者は組織のニーズに合わせて SELinux ポリシーを効果的に調整できます。