現在位置: ホーム / その他の製品サポート情報 / MIRACLE CLUSTERPRO X5 技術情報 / SELinux 環境下での設定 (内部バージョンが 5.1.1-1 以前の場合)

SELinux 環境下での設定 (内部バージョンが 5.1.1-1 以前の場合)

はじめに

SELinux を有効 (Enforcing) にした環境で CLUSTERPRO を使用する場合、CLUSTERPRO のドライバ (カーネルモジュール) のロードを事前に許可する設定が必要となります。

本ページでは、その設定方法を説明します。

なお、本手順は CLUSTERPRO の内部バージョンが 5.1.1-1 以前の場合の手順となります。CLUSTERPRO では脆弱性対策が行われたバージョンが既にリリースされておりますので、新規のインストールをご検討のお客様におかれましては、そちらのご利用および『SELinux 環境下での設定 (内部バージョンが 5.1.2-1 以降の場合)』の実施をお願いいたします。

事前準備

SELinux のポリシーファイルを作成するために必要なパッケージ、およびその依存パッケージをインストールします。すでにインストールされている場合、この手順は必要ありません。

# dnf install selinux-policy-mls selinux-policy-devel -y

ポリシーファイルの作成

作業用ディレクトリを作成し、そのディレクトリ内でポリシーファイルを作成します。

# mkdir /tmp/te
# cd /tmp/te

CLUSTERPRO のドライバ毎に、ポリシーファイルを作成するため vi などのエディタを用いて、作業ディレクトリ内に以下の内容で .te ファイルを作成します。

clpka.ko ドライバ用の .te ファイル clpka.te

# clpka.te
module clpka 1.0;
require {
type unconfined_service_t;
type usr_t;
class system module_load;
}
#============= unconfined_service_t ==============
allow unconfined_service_t usr_t:system module_load;

clpkhb.ko ドライバ用の .te ファイル clpkhb.te

# clpkhb.te
module clpkhb 1.0;
require {
type unconfined_service_t;
type usr_t;
class system module_load;
}

#============= unconfined_service_t ==============
allow unconfined_service_t usr_t:system module_load;

liscal.ko ドライバ用の .te ファイル liscal.te (※ clusterprosss, miracle-failsafe インストール環境では作成不要)

# liscal.te
module liscal 1.0;
require {
type usr_t;
type unconfined_service_t;
class system module_load;
}
#============= unconfined_service_t ==============
allow unconfined_service_t usr_t:system module_load;

作業ディレクトリ内で以下のように make コマンドを実行し、ポリシーファイルを作成します。

# make -f /usr/share/selinux/devel/Makefile

作成したポリシーファイルを semodule コマンドでインストールします。(※ clusterprosss, miracle-failsafe インストール環境では、liscal.pp のインストールは不要です。)

# semodule -i clpka.pp clpkhb.pp liscal.pp

semodule コマンドで SELinux ポリシーファイルがインストールされていることを確認します。

# semodule -l

クラスタ生成後に、必要なドライバがロードされていることを確認します。

# lsmod | grep -E "clp|liscal"
  • clpka は、ユーザ空間モニタリソースの監視方法として、keepalive を指定している場合に、クラスタ開始時にロードされます。 また、シャットダウン監視の監視方法として keepalive を指定している場合に、シャットダウン監視開始時にロードされます。
  • clpkhb は、インタコネクトにカーネルハートビートを設定している場合や、clpka を使用する場合に、ロードされます。
  • liscal は、ミラーディスクリソースやハイブリッドディスクリソースが設定されている場合に、ロードされます。

参考情報

インストールについての詳細は、MIRACLE CLUSTERPRO X に関しては、『CLUSTERPRO X インストール & 設定ガイド』を、SingleServerSafe と MIRACLE FailSafe に関しては、『CLUSTERPRO X SingleServerSafe インストールガイド』をご参照ください。

MIRACLE CLUSTERPRO X5 サポート