SelinuxはLinuxシステムのセキュリティを大幅に強化し、httpdサービスなどのユーザー権限をケージに閉じ込めることができ、apacheはデフォルトで/var/wwwディレクトリにアクセスでき、80と443ポートしか傍受できないため、0-dayクラスの攻撃を効果的に防ぐことができます。たとえば、システム上のApacheには、リモート・ユーザーがシステム上の機密ファイル(例えば/etc/passwd)にアクセスできるようにする脆弱性が発見され、セキュリティ・ホールを修復するApache更新パッチはまだ解放されていない。このときSELinuxは,この脆弱性を補う緩和策として機能する./etc/passwdはApacheのアクセスラベルを持たないため、/etc/passwdに対するApacheのアクセスはSELinuxによってブロックされます。

CentOSシステムに搭載されているchconツールでは、ファイル、ディレクトリなどのファイルタイプやポリシーを変更するしかなく、ポート、メッセージインタフェース、ネットワークインタフェースなどの管理ができず、semanageはSELinuxの関連構成に有効です。

使用方法:

semanageコマンドは、SELinuxのデフォルトディレクトリのセキュリティコンテキストをクエリーおよび変更するために使用されます。

 semanage fcontext [-S store] -{a|d|m|l|n|D} [-frst] file_spec

 semanage fcontext [-S store] -{a|d|m|l|n|D} -e replacement target

コードのコピー

emanage port -a -t http_port_t -p tcp port_number