ファイルへのMCSカテゴリの適用
ファイルへのアクセス権があるユーザーは、そのユーザーにMCSカテゴリが割り当てられている場合には、そのファイルにそのカテゴリを適用できます。ファイルにカテゴリを適用することで、ユーザーは、同じカテゴリが割り当てられていないシステム上の他のユーザーからそのファイルへのアクセスをブロックできます。なお、すべてのSELinuxポリシーと同様に、標準のLinux任意アクセス制御も有効であるため、ユーザーにファイルへのカテゴリ・アクセス権がある場合でも、そのユーザーは、ファイル権限およびモードによってアクセスが防止されていると、ファイルにアクセスできないことがあります。
ユーザーがファイルに適用するカテゴリを設定できるのは、自分が設定するカテゴリが自分にも割り当てられている場合です。ファイル・カテゴリは、chcatコマンドを使用して設定します。たとえば、c1およびc2カテゴリをファイルに追加するには、次を実行します。
chcat -- +c1,+c2 /path/to/filec1カテゴリを削除するには、次を実行します。
chcat -- -c1 /path/to/fileこのコマンドでは、--を使用して、-文字をオプション・スイッチとして解釈しないことを示しています。詳細は、chcat(8)マニュアル・ページを参照してください。
ファイルのセキュリティ・コンテキストを一覧表示することで、ファイルに割り当てられるカテゴリを確認できます。
ls -lZ /path/to/file新しいファイルとディレクトリは、デフォルトでは、親ディレクトリのSELinuxタイプを継承します。次のコマンドを実行することで、ファイルの親ディレクトリに割り当てられているカテゴリを確認できます。
ls -dZ /path/to/file