SELinux(Security-Enhanced Linux)機能が有効になっているLinux環境の場合に必要となる設定について説明します。
SELinuxが出力するログに、ジョブとして実行するアプリケーションのセキュリティ違反メッセージが出力される場合
ジョブとして実行するアプリケーションがSELinuxのドメイン遷移をするアプリケーションの場合、遷移するドメインの権限によっては、SELinuxが出力するログにSystemwalker Operation Managerのディレクトリ配下のファイルに対するセキュリティ違反メッセージが出力される場合があります。
このセキュリティ違反メッセージは、ジョブとして実行するアプリケーションの標準出力や標準エラー出力が、Systemwalker Operation Managerの管理するファイルに書き込まれるために出力されます。セキュリティ違反メッセージを抑止するためには、アプリケーションが遷移するドメインに、Systemwalker Operation Managerのファイルに対するアクセス権“sw_fjsvmjs_spool_t”を付与する必要があります。
SELinuxポリシーファイルに以下の内容を記述します。
allow ドメイン sw_fjsvmjs_spool_t:file { write getattr };sample_tドメインにアクセス権を付与する場合の記述例を示します。
allow sample_t sw_fjsvmjs_spool_t:file { write getattr };また、上記以外にも、Systemwalker Operation Managerから実行したアプリケーションが、セキュリティ違反メッセージを出力する場合があります。コンソールなどからログインしてアプリケーションを実行した場合は、通常unconfined_tドメインで動作するのに対して、Systemwalker Operation Managerから実行した場合は、Systemwalker Operation Managerデーモンのドメインを継承してinitrc_tドメインでアプリケーションが動作します。この違いに起因して、ジョブの動作によってはセキュリティ違反メッセージが出力されます。
セキュリティ違反を解消するには、SELinuxが出力するログの情報をもとに、アプリケーションに必要なアクセス許可を付与してください。
以下にアクセス権付与の一例を示します。実際には、出力されるメッセージに合わせて、付与するドメインやアクセス権を決定してください。
allow hostname_t self:capability { dac_override };参照
SELinux機能のアクセス権を付与する方法については、Linuxのオンラインマニュアルなどを参照してください。
業務連携で使用するFTPサーバのログインに失敗する、または転送するファイルにアクセスできない場合
SELinuxを有効にすることで、業務連携で使用するFTPサーバのログインに失敗する、または転送するファイルにアクセスできない現象が発生する場合があります。
この現象は、FTPサーバが属するSELinuxのドメイン(例:ftpd_tドメイン)に対して、ログインディレクトリおよび転送するファイルや格納ディレクトリのアクセス権限が付与されていないために発生します。この現象を抑止するためには、FTPサーバが属するSELinuxのドメインに対して、ログインディレクトリおよび転送するファイルや格納ディレクトリのアクセス権限を付与する必要があります。
以下にアクセス権付与の一例を示します。実際には、出力されるメッセージに合わせて、付与するドメインやアクセス権を決定してください。
allow ftpd_t chkpwd_t:process { siginh noatsecure rlimitinh };
allow ftpd_t home_root_t:dir search;
allow ftpd_t user_home_dir_t:dir { read search open };# setsebool -P ftp_home_dir on
参照
SELinux機能のアクセス権を付与する方法については、Linuxのオンラインマニュアルなどを参照してください。