SELinux を頑張る-その7
おつかれさまです。
さて、myuser の SELinux ユーザーを staff_u にしましたよね。
$ id -Z
(表示)
staff_u:staff_r:staff_t:s0
然し乍ら、myuser のホームディレクトリのセキュリティコンテキストを確認すると、以下のようになっています。
$ ls -lZ
(表示)
unconfined_u:object_r:user_home_t:s0
これはよくないと思うので、ラベルを貼り直したいところです。
ラベルを貼り直すのは、restorecon コマンドでおこないますが、既に一般ユーザーは、SELinux ユーザー staff_u にマッピングされており su コマンドが使えなくしてあるので、まだ unconfined_u にマッピングされている root になる必要があります。
# restorecon -Rv /home/myuser
うーん、staff_u にならないようです。
では、/.autorelabel ファイルを作成してから再起動したらどうでしょうか。
注意事項を学んだのですが、この時は、permissive にする必要があります。
うーん、やってみましたが、だめでした。
以下のコマンドで、できました。
# chcon staff_u:object_r:user_home_t:s0 -R /home/myuser
ところで、もう一度やってみたら、permissive にしたら、restorecon でもいけました。
ということは、unconfined モジュールを削除したシステムでは、一般的に restorecon も permissive にせんといかんということなのかな。