サーバアクセス制御を利用する場合に行う設定について説明します。
本設定は、OSがRed Hat Enterprise Linux 6の場合にだけ必要です。
必須パッケージのインストール
サーバアクセス制御を利用する場合は、以下のパッケージがインストールされている必要があります。
インストールされていない場合は、OSのインストール媒体からインストールしてください。
audit-libs-python
libsemanage-python
setools-libs
(OSが64bit版 Red Hat Enterprise Linux 6の場合は、32bit用と64bit用のパッケージの両方がインストールされている必要があります。)
setools-libs-python
policycoreutils-python
SELinuxの有効化
SELinuxを有効化するため、各監視対象サーバで以下の作業を実施してください。
注意
SELinuxを有効化することにより、SELinuxをサポートしていない他のソフトウェアと共存することができなくなります。
SELinuxをサポートしていないソフトウェアがすでにインストールされている場合、SELinx有効化により、当該ソフトウェアが正常に動作しなくなる恐れがあります。
必須サービスの状態を確認する
SELinuxには、以下のサービスが起動していることが必須となっています。
auditd |
上記サービスが起動していない場合は、サービスを起動します。また、サービスが自動起動になっていない場合は、自動起動の設定をします。
サービスが起動しているかどうかの確認方法、サービスの起動方法、および自動起動の設定方法は以下のとおりです。
確認方法
以下のコマンドを実行します。
# /sbin/service auditd status |
起動している場合
以下のように表示されます。(“????”はauditdサービスのプロセスIDです。)
auditd (pid ????) is running... |
停止している場合
以下のように表示されます。
auditd is stopped |
起動方法
以下のコマンドを実行します。
# /sbin/service auditd start |
自動起動の設定方法
以下のコマンドを実行します。
# /sbin/chkconfig auditd on |
SELinux設定ファイルを編集する
SELinuxを有効化するために、SELinux設定ファイル(/etc/selinux/config)を以下のように編集します。
“SELINUX=enforcing”に変更
“SELINUXTYPE=targeted”に変更
すでに上記のように設定されている場合は、この作業は不要です。
SELinux設定ファイル(/etc/selinux/config)の設定例)
# This file controls the state of SELinux on the system. |
ファイルのタイプ付けを行う
SELinux設定ファイルを編集(SELinux設定ファイルの内容を無効から有効に変更)した場合は、以下の作業を実施します。
システムに存在するすべてのファイルに対して、タイプ付けを行います。
# fixfiles relabel |
OSを再起動します。
Systemwalker Centric ManagerのSELinux用初期設定を行う
以下の手順で、Systemwalker Centric ManagerのSELinux用初期設定を行います。
Systemwalker Centric Managerと連携する製品が動作している場合は、停止してください。
停止方法の詳細については、各製品のドキュメントを参照してください。
Systemwalker Centric Managerを停止します。
# /opt/systemwalker/bin/pcentricmgr |
SELinux初期設定コマンド(swsvacseset)を実行します。
# /opt/FJSVsvac/bin/swsvacseset |
初期設定が完了すると、以下のメッセージが出力されます。
UX:FJSVsvac: INFO: 03001: SELinux policy has been updated. |
設定内容など、swsvacseset(Systemwalker Centric ManagerのSELinux初期設定コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
Systemwalker Centric Managerを起動します。
# /opt/systemwalker/bin/scentricmgr |
ポイント
SELinuxの無効化
サーバアクセス制御を利用しなくなった場合で、ほかにSELinuxを利用している機能がないなどSELinuxを無効にしても問題ない場合は、SELinuxを無効化してください。
各監視対象サーバで以下を実施し、SELinuxを無効化します。
SELinux初期設定解除コマンド(swsvacseunset)を実行します。
# /opt/FJSVsvac/bin/swsvacseunset |
初期設定の解除が完了すると、以下のメッセージが出力されます。
UX:FJSVsvac: INFO: 03001: SELinux policy has been updated. |
設定内容など、swsvacseunset(Systemwalker Centric ManagerのSELinux初期設定解除コマンド)の詳細について
は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
SELinux設定ファイル(/etc/selinux/config)を以下のように編集します。
「SELINUX=disabled」に変更
OSを再起動します。