Hitachi

ノンストップデータベース HiRDB Version 10 システム導入・設計ガイド(UNIX(R)用)

付録D.2 SELinuxセキュリティコンテキストを設定する方法

HiRDBに対してSELinuxセキュリティコンテキストを設定するには,次の方法があります。運用に合わせて適切な方法を選択してください。

方法

概要

HiRDBセットアップでセキュリティコンテキストを設定する

セットアップ時にpdsetupコマンドでセキュリティコンテキストを設定する方法です。

再セットアップでセキュリティコンテキストを設定する

セットアップ後に,一度アンセットアップした後に再セットアップでセキュリティコンテキストを設定する方法です。

pdsesetコマンドでセキュリティコンテキストを設定する

セットアップ後に,PermissiveモードでSELinuxを動作させた後にpdsesetコマンドでセキュリティコンテキストを設定する方法です。

OSコマンドでセキュリティコンテキストを設定する

セットアップ後に,PermissiveモードでSELinuxを動作させた後にOSのコマンドでセキュリティコンテキストを設定する方法です。
〈この項の構成〉

(1) HiRDBセットアップでセキュリティコンテキストを設定する

HiRDBをまだセットアップしていない状況でSELinuxをEnforcing又はPermissiveモードで実行している環境では,pdsetupコマンドでHiRDBの運用ディレクトリ配下に対してSELinuxのセキュリティコンテキストを設定します。

pdsetupコマンドについては,マニュアル「HiRDB コマンドリファレンス」を参照してください。

ページの先頭へ

(2) 再セットアップでセキュリティコンテキストを設定する

HiRDBのセットアップ後にSELinuxをEnforcing又はPermissiveモードへ変更する場合に,再セットアップでHiRDBの運用ディレクトリ配下に対してSELinuxセキュリティコンテキストを設定する方法を次に示します。

  1. HiRDBを正常停止します。

  2. pdsetupコマンドに-dオプションを指定して実行,KFPS00036-Qメッセージにn応答します。

  3. SELinuxをDisabledモードからEnforcing又はPermissiveモードへ変更します。

  4. pdsetupコマンドを実行し,HiRDBを再セットアップしてSELinuxのセキュリティコンテキストを設定します。

ページの先頭へ

(3) pdsesetコマンドでセキュリティコンテキストを設定する

HiRDBのセットアップ後にSELinuxをEnforcing又はPermissiveモードへ変更する場合に,pdsesetコマンドでHiRDBの運用ディレクトリ配下に対してSELinuxセキュリティコンテキストを設定する方法を次に示します。

pdsesetコマンドについては,マニュアル「HiRDB コマンドリファレンス」を参照してください。

  1. HiRDBを正常停止します。

  2. SELinuxをDisabledモードからPermissiveモードへ変更します。

  3. pdsesetコマンドでSELinuxのセキュリティコンテキストを設定します。

  4. 必要に応じて,SELinuxをEnforcingモードへ変更します。

ページの先頭へ

(4) OSコマンドでセキュリティコンテキストを設定する

HiRDBのセットアップ後にSELinuxをEnforcing又はPermissiveモードへ変更する場合に,OSコマンドでHiRDBの運用ディレクトリ配下に対してSELinuxセキュリティコンテキストを設定する方法を次に示します。

  1. HiRDBを正常停止します。

  2. SELinuxをDisabledモードからPermissiveモードへ変更します。

  3. OSコマンドでSELinuxのセキュリティコンテキストを設定します。詳細は後述します。

  4. OSを再起動します。

  5. 必要に応じて,SELinuxをEnforcingモードへ変更します。

<実行するOSコマンド>

rootユーザで次のOSコマンドを実行してSELinuxセキュリティコンテキストを設定します。なお,semanageコマンド及びrestoreconコマンドの詳細はOSのマニュアルを参照してください。

  1. $PDDIR配下のtypeをusr_tに変更します。

    semanage fcontext -a -t usr_t $PDDIR'(/.*)?'

  2. $PDDIR/lib/servers配下のtypeをbin_tに変更します。

    semanage fcontext -a -t bin_t $PDDIR/lib/servers'(/.*)?'

  3. $PDDIR配下の変更内容を確定します。

    restorecon -FR $PDDIR

  4. OSを再起動します。

    reboot
<設定後の確認>

SELinuxセキュリティコンテキストが設定できているか確認する方法を次に示します。

  • $PDDIR配下のセキュリティコンテキストが"usr_t"になっているか確認してください。

    ls -1Z $PDDIR

    実行結果の例

    system_u:object_r:usr_t:s0 bin
system_u:object_r:usr_t:s0 client
:
system_u:object_r:usr_t:s0 lib
:

  • $PDDIR/lib/servers配下のSELinuxコンテキストが"bin_t"になっているか確認してください。

    ls -1Z $PDDIR/lib/servers

実行結果の例

system_u:object_r:bin_t:s0 pd_buf_awt
:

ページの先頭へ

商品名称に関する表示

All Rights Reserved. Copyright (C) 2018, 2025, Hitachi, Ltd.