最終回 Heartbeat+独自ドメインでセキュアな世界のその先へ


面 和毅
サイオステクノロジー株式会社
OSSテクノロジーセンター
開発支援グループ
グループマネージャー
2008/7/16


 第8回第9回に続き、SELinuxを用いたクラスタリング環境を強固なものにする方法を解説しましょう。今回は、Heartbeatに独自ドメインを設定し、よりSELinuxを有効に活用してセキュリティを高めたシステムにしていきます。

図1 クラスタリングを実現するための検証環境

 引き続き、検証環境として図1のような環境を想定しています。

  • プライマリ :CentOS 5.1
  • セカンダリ :CentOS 5.1

の2台のマシンが、アクティブ/スタンバイのクラスタリングを構成し、

  • 仮想IPアドレス(クライアントPCからApacheに接続する際のIPアドレス)
  • 共有ディスク(Apacheのコンテンツファイルを格納)
  • Apache(仮想IP上で動作)

を提供しています。

 Heartbeat用の独自ドメインの設定

 Heartbeat用の独自ドメインとして、heartbeat_tドメインを追加します。第6回「GUIでカスタマイズも簡単! SELinux on CentOS 5.1」で紹介した、GUIを使用する方法でカスタマイズを行います。

 Heartbeat用のひな型の作成

 まずは、Heartbeatのポリシーを定義するためのひな型を作りましょう。

  1. system-config-selinuxから「Policy Module」で「NEW」を選択し、「SELinux Policy Generation Druid」を起動します。

    図2 SELinux Policy Generation Druid

  2. heartbeat_tドメインを作成しますので、「Name」は「heartbeat」とします。
    「Executable」には、Heartbeatの実行ファイルである「/usr/lib/heartbeat/heartbeat」を選択します。

    図3 /usr/lib/heartbeat/heartbeatを選択

  3. /etc/init.dから起動しますので、アプリケーションのタイプとして「Standard Init Daemon」を選択します。

    図4 Standard Init Daemonを選択

  4. Incoming Port/Outgoing Portには、何も選択せず、後で必要なポートを追加するようにします。

    図5 Incoming Portはそのまま

    図6 Outgoing Portもここでは入力しない

  5. syslogにログを出力しますので、「Application uses syslog to log messages」にチェックをします。また、Heartbeat用のユーザーでデーモンを起動しますので、「Application uses nsswitch or translates UID」を選択します。

    図7 2つのチェックボックスを選択

  6. ポリシーの出力先は「/root/policies」を選択します。

    図8 /root/policiesを入力する

  7. ポリシーの生成で「Apply」を選択します。

    図9 Applyを押す

  8. これで、/root/policies以下に
      ・heartbeat.te
      ・heartbeat.if
      ・heartbeat.fc
      ・heartbeat.sh
    の4つのファイルが生成されます。audit2allowを用いて、heartbeat.teファイルに必要なルールを追記していきます。
1/3

Index
Heartbeat+独自ドメインでセキュアな世界のその先へ
Page1
Heartbeat用の独自ドメインの設定
Heartbeat用のひな型の作成
  Page2
自動生成されたポリシーを調整する
子プロセスを各ドメインへ遷移させるには
  Page3
ドメイン遷移の設定
業務アプリケーションでもスイッチ・オンは怖くない!


スイッチ・オン! SELinux 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間