https://www.rough-and-cheap.jp/mediawiki/index.php?action=history&feed=atom&title=%E6%99%82%E5%88%BB%E3%81%AE%E5%90%8C%E6%9C%9F-SELinux%E3%81%A7%E3%81%AE%E3%83%A9%E3%83%99%E3%83%AB%E4%BB%98%E3%81%A8%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC
時刻の同期-SELinuxでのラベル付とポリシー - 版の履歴
2026-05-02T12:55:02Z
このウィキのこのページに関する変更履歴
MediaWiki 1.42.3
https://www.rough-and-cheap.jp/mediawiki/index.php?title=%E6%99%82%E5%88%BB%E3%81%AE%E5%90%8C%E6%9C%9F-SELinux%E3%81%A7%E3%81%AE%E3%83%A9%E3%83%99%E3%83%AB%E4%BB%98%E3%81%A8%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC&diff=9584&oldid=prev
Meisina04: ページの作成:「Windowsクライアントの時刻同期のポリシーをセット <pre># chcon -u system_u -t ntpd_t /usr/local/samba/var/lib/ntp_signd</pre> ポリシーを永続的...」
2018-03-23T06:39:23Z
<p>ページの作成:「Windowsクライアントの時刻同期のポリシーをセット <pre># chcon -u system_u -t ntpd_t /usr/local/samba/var/lib/ntp_signd</pre> ポリシーを永続的...」</p>
<p><b>新規ページ</b></p><div>Windowsクライアントの時刻同期のポリシーをセット<br />
<br />
<pre># chcon -u system_u -t ntpd_t /usr/local/samba/var/lib/ntp_signd</pre><br />
ポリシーを永続的にする<br />
<br />
<pre># semanage -a -t ntpd_t &quot;/usr/local/samba/var/lib/ntp_signd&quot;</pre><br />
変更を確認<br />
<br />
<pre># cat /etc/selinux/targeted/contexts/files/file_contexts.local</pre><br />
次のような行が表示されます:<br />
<br />
<pre>/usr/local/samba/var/lib/ntp_signd system_u:object_r:ntpd_t:s0</pre><br />
以下のポリシーファイルは、RHEL 6.5の4.1.6に基づいており、参照用にしてください。 ベースポリシーファイルを作成した後は、常に以下のegrepコマンドを実行してください。 その後、システム上でntpdとSamba ADサービスを停止/起動し、競合するまで基本ポリシーに追加します。<br />
<br />
<pre>egrep &quot;samba|ntpd&quot; /var/log/audit/audit.log | audit2allow</pre><br />
すべてがうまくいけば、ポリシーファイルの下の各 &quot;allow&quot;行にこれが表示されます。<br />
<br />
<pre>#!!! This avc is allowed in the current policy<br />
allow ntpd_t self:capability sys_admin;<br />
etc.</pre><br />
samba4.te ポリシー:<br />
<br />
<pre>module samba4 1.0;<br />
<br />
require {<br />
type ntpd_t;<br />
type usr_t;<br />
type initrc_t;<br />
type fs_t;<br />
type setfiles_t;<br />
type lib_t;<br />
type unconfined_t;<br />
type locate_t;<br />
class dir write;<br />
class dir search;<br />
class dir open;<br />
class dir read;<br />
class dir getattr;<br />
class dir remove_name;<br />
class dir add_name;<br />
class dir relabelto;<br />
class unix_stream_socket connectto;<br />
class sock_file write;<br />
class sock_file create;<br />
class sock_file unlink;<br />
class filesystem associate;<br />
class capability sys_admin;<br />
}<br />
<br />
#============= initrc_t ==============<br />
allow initrc_t ntpd_t:dir { write remove_name add_name };<br />
allow initrc_t ntpd_t:sock_file create;<br />
allow initrc_t ntpd_t:sock_file unlink;<br />
<br />
#============= ntpd_t ==============<br />
allow ntpd_t usr_t:sock_file write;<br />
allow ntpd_t initrc_t:unix_stream_socket connectto;<br />
allow ntpd_t fs_t:filesystem associate;<br />
allow ntpd_t lib_t:sock_file write;<br />
allow ntpd_t unconfined_t:unix_stream_socket connectto;<br />
allow ntpd_t self:sock_file write;<br />
allow ntpd_t self:capability sys_admin;<br />
<br />
#============= locate_t ==============<br />
allow locate_t ntpd_t:dir { read getattr open search };<br />
<br />
#============= setfiles_t ==============<br />
allow setfiles_t ntpd_t:dir relabelto;</pre><br />
ポリシーの確認と読み込み:<br />
<br />
<pre>$ checkmodule -M -m -o samba4.mod samba4.te<br />
$ semodule_package -o samba4.pp -m samba4.mod<br />
$ semodule -i samba4.pp</pre></div>
Meisina04