第6回 GUIでカスタマイズも簡単！ SELinux on CentOS 5.1

面 和毅
サイオステクノロジー株式会社
OSSテクノロジーセンター
開発支援グループ
グループマネージャー
2007/12/20

---

　GUIでできちゃう、ポリシーモジュールのコンパイルとロード

　前項で生成されたひな型を用いてポリシーモジュールを生成し、システムにロードします。以下のステップで行います。

1. ポリシーモジュールを生成するためには、「selinux-policy-devel.noarch」パッケージをインストールする必要があります。“yum install selinux-policy-devel”などとして、インストールします。
   
   
2. ポリシーのひな型があるディレクトリ（今回は/root/policies）で“sh NRPE.sh”を実行します。モジュールのコンパイルが行われ、NRPE.ppファイルが生成されます。
   
   

   [root@localhost policies]# pwd /root/policies [root@localhost policies]# ls NRPE.fc NRPE.if NRPE.sh NRPE.te [root@localhost policies]# sh NRPE.sh Compiling targeted NRPE module /usr/bin/checkmodule: loading policy configuration from tmp/NRPE.tmp /usr/bin/checkmodule: policy configuration loaded /usr/bin/checkmodule: writing binary representation (version 6) to tmp/NRPE.mod Creating targeted NRPE.pp policy package rm tmp/NRPE.mod.fc tmp/NRPE.mod /sbin/restorecon reset /usr/local/nagios/bin/nrpe context system_u:object_r:bin_t:s0->system_u:object_r:NRPE_exec_t:s0 [root@localhost policies]# ls NRPE.fc NRPE.if NRPE.pp NRPE.sh NRPE.te tmp

   リスト5　NRPE.ppファイルの確認

   
   
3. 生成されたNRPE.ppファイルをsystem-config-selinuxを用いてシステムにロードします。「Policy Module」の項で「追加」をクリックするとPolicyファイル（.ppファイル）を選択できますので、先ほど生成したNRPE.ppファイルを選択します。
   
   

   図15　NRPE.ppファイルの選択

   
   
4. Module Nameの中に「NRPE」が追加されたことが分かります。
   
   

   図16　モジュールにNRPEが追加されている

   
   
5. ポリシーの調整を行うために、「system-config-selinux」ツールや「setenforce」コマンドなどを用いて、システムを「Permissiveモード」に変更します。
   
   

   図17　Permissiveモードの選択

   
   
6. NagiosからCentOS 5.1のNRPEへのジョブが起動されるのを待ちます。すべてのジョブが正常に動作し、SELinuxのステータスは「Warning」（Permissiveモード）になっています。「NRPE DOMAIN」の項を見ると、nrpeプロセスがNRPE_tドメイン（system_u:system_r:NRPE_t:s0）で動作していることが確認できます。
   
   

   図18　Nagiosジョブの確認

2/3

Index
GUIでカスタマイズも簡単！ SELinux on CentOS 5.1
	Page1 まずは環境を確認 system-config-selinuxによるポリシーのひな型作成
	Page2 GUIでできちゃう、ポリシーモジュールのコンパイルとロード
	Page3 ポリシーの調整 GUIツールも充実しているCentOS 5.1を体験すべし！

スイッチ・オン！ SELinux 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）