今日のSELinux

サーバいじりが、SELinuxツールいじりに直結する今日このごろ。
permissiveだと山ほどメッセージが出て楽しい(か?

バックアップコマンドはどう書くべきか

設定ファイルをいじるときには、あらかじめバックアップを作成したりするのだが、そのときにrestoreconしておくようなコマンドが欲しくなってきた。(以前、Fedora Core 5についてきたSELinuxのFAQに、関係することが書いてあったような気がする←うろおぼえ)
さて、そのコマンド(bashスクリプト)には、どんな権限というか、contextを与えておけばいいんだっけな?

proftpdを動かしたら、sealertに次のようなコマンドをsuggestされたよ。

Detailed Description
    SELinux has denied the ftp daemon access to users home directories
    (/home/ユーザ名/Maildir). Someone is attempting to login via your ftp daemon to
    a user account. If you only setup ftp to allow anonymous ftp, this could
    signal a intrusion attempt.
(FTPクライアントで、自分のホームディレクトリ以下、特にMaildirをアクセスしようとして
 拒否されている。もし、anonymous FTPだけが設定されているのだとしたら、これはヤバイ
 兆候だ。)

Allowing Access
    If you want ftp to allow users access to their home directories you need to
    turn on the ftp_home_dir boolean: "setsebool -P ftp_home_dir=1"
(FTPクライアントで接続したユーザに、自分のホームディレクトリをアクセス
 させたい場合は、ftp_home_dir というスイッチ変数をセットする。
 その場合のコマンドは  "setsebool -P ftp_home_dir=1" である。)

へー。