SE (security enhanced) Linux

[表示 : 全て最新50 1-99 101- 201- 301- 2chのread.cgiへ]
Update time : 05/23 19:34 / Filesize : 86 KB / Number-of Response : 394
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [04/06/12 05:18 ID:s7bBlWwQ]: SE Linux についてのスレです。
利点、問題点、導入に当たっての注意など。

www.selinux.jp/
www.selinux.gr.jp/
www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652
239 名前：login:Penguin mailto:sage [2006/03/30(木) 01:35:10 ID:KGSVIhop]: 日本語で(ｒｙ
240 名前：login:Penguin mailto:sage [2006/03/30(木) 03:13:52 ID:UbuRNvya]: めずらしくレスあるな。
SELinuxとTOMOYOLinuxできればどこでも転職できます
ぐらいの売り込みすればみんなOFFにしないんじゃん
実際まだ扱える人材は少ないけど、注目度は高いんだし
241 名前：login:Penguin mailto:sage [2006/03/30(木) 23:42:31 ID:vYvTHlZE]: とりあえず今からVine用にポリシーを書いて安定動作させられるだけの人材なら転職が楽だと思う
242 名前：login:Penguin mailto:sage [2006/03/31(金) 03:54:04 ID:c2Q2PtAv]: 今はSELinuxを扱える人材を募集している会社がまだそんなになさそう。
そのうちLinuxを扱うエンジニアには必須項目になってくると思うけどね。
243 名前：login:Penguin mailto:sage [2006/03/31(金) 12:19:46 ID:E8eNEfyd]: 本気か？
こんなめんどくさいもん入れるやつは出てこないよ。
244 名前：login:Penguin mailto:sage [2006/03/31(金) 13:29:50 ID:cBe4lNwk]: 面倒だからこそメシの種になるんじゃないのか
245 名前：login:Penguin mailto:sage [2006/03/31(金) 15:37:39 ID:UiGwZxlZ]: ここにもいるであろう”SELinuxを扱える人”って、MLSやらDTEやらRBACやらのセキュリティポリシーモデルもちゃんとお勉強したの？？
246 名前：login:Penguin mailto:sage [2006/03/31(金) 19:33:26 ID:E8eNEfyd]: >>244
客は理解できないから発注しない。
247 名前：login:Penguin mailto:sage [2006/03/31(金) 23:36:30 ID:AEimUosf]: つうか、SELinuxのポリシーを業務で *本当に* 扱えるってことは、システムの要件全体や
全プロセスの挙動、業務フローまで全部理解してるはずじゃない？
それだけのスキルがあればSELinux抜きでもメシを食えると思う
Hello Worldレベルの設定で喜んでるなら別だけど
248 名前：login:Penguin mailto:sage [2006/03/32(土) 01:43:32 ID:JDoyVCsD]: targetedならできそうじゃね？
249 名前：login:Penguin mailto:sage [2006/04/04(火) 23:03:35 ID:dbz5rSMH]: FedoraCore5のSELinux触った？
新しくなっててよくわからなくなってるし
250 名前：login:Penguin [2006/04/04(火) 23:39:02 ID:Nxd02Sjx]: FedoraCore5のMCSにはバグがあるから気をつけろ。
251 名前：login:Penguin mailto:ge [2006/04/05(水) 00:33:30 ID:RyEzmfa8]: アメリカの軍事機関産なんてもんは
ウィルス流し込むのと変わらん
252 名前：login:Penguin mailto:sage [2006/04/05(水) 00:33:48 ID:18+Z0sd8]: MCSにバグあるのか。そもそもMCSをよく理解してないけど。。
253 名前：250 [2006/04/05(水) 00:36:27 ID:v5+HM8wU]: プロセスのカテゴリ間遷移に何の制約もかかってないので、結局どんなカテゴリを設定したところで

% runcon -l SystemLow-SystemHigh /bin/bash
一発でアクセス可能になってしまうという…。
254 名前：login:Penguin mailto:sage [2006/04/05(水) 08:12:00 ID:kamtW6c3]: >>251
そうだな。
255 名前：login:Penguin [2006/04/05(水) 12:34:02 ID:fw77qyCk]: ネットの技術なんてアメリカの軍事から産まれたの多くないか？
日本だと防衛庁がつくれば日本人エンジニアも納得って感じか？
256 名前：login:Penguin mailto:sage [2006/04/06(木) 07:25:54 ID:oviNSQ1N]: それなんて富士通？
257 名前：login:Penguin [2006/04/06(木) 11:28:37 ID:YEiCHFN4]: それってWindowsUpdateはウイルス流し込むのと変わらない
と言っているのと同じ気がするけど
258 名前：login:Penguin mailto:sage [2006/04/07(金) 01:08:46 ID:6DBpvXFo]: SystemLow-SystemHigh ってなんだ？
また新しい機能はいったん？
259 名前：250 [2006/04/07(金) 15:32:43 ID:niRmaLXj]: >>258
それがMCSクオリティ

デフォルトの設定で、全てのカテゴリを包含する(全てのカテゴリに権限を有する)カテゴリに対して付けられたエイリアス
要するに、カテゴリ0～カテゴリ255まで全部ってことだな。

/etc/selinux/targeted/setrans.conf 見れ

#
# Multi-Category Security translation table for SELinux
#
# Uncomment the following to disable translation libary
# disable=1
#
# Objects can be categorized with 0-256 categories defined by the admin.
# Objects can be in more than one category at a time.
# Categories are stored in the system as c0-c255. Users can use this
# table to translate the categories into a more meaningful output.
# Examples:
# s0:c0=CompanyConfidential
# s0:c1=PatientRecord
# s0:c2=Unclassified
# s0:c3=TopSecret
# s0:c1,c3=CompanyConfidentialRedHat
s0=
s0-s0:c0.c255=SystemLow-SystemHigh
s0:c0.c255=SystemHigh
260 名前：login:Penguin mailto:sage [2006/04/08(土) 19:50:52 ID:iy4/n+cL]: Fedora Core 5 にして、現在後悔中
どうやってポリシーいじればいいんだ・・・
261 名前：login:Penguin mailto:sage [2006/04/08(土) 21:02:53 ID:st9vL7l7]: FC4→FC5は別物だな
262 名前：250 [2006/04/10(月) 00:01:01 ID:C/cakVDw]: seibun.nosv.org/?p=SELinux

SELinuxの71%は罠で出来ています
SELinuxの13%は情報で出来ています
SELinuxの8%は気の迷いで出来ています
SELinuxの8%は理論で出来ています

なんか笑えた。結構合ってるような気が…。
263 名前：login:Penguin mailto:sage [2006/04/10(月) 11:34:49 ID:yj7wkDKQ]: >>262
ﾜﾛﾀ

やっぱりfedoraは危険だなぁｗ
264 名前：login:Penguin mailto:sage [2006/04/11(火) 20:16:14 ID:SajR50yj]: >>262
exe版と結果が違うんだが。
265 名前：login:Penguin mailto:sage [2006/04/11(火) 21:32:30 ID:BhjOi48X]: ってかMLSとか、MCSって必要なの？
いままでの仕組みで十分じゃね？
266 名前：sage [2006/04/11(火) 21:40:45 ID:GCPU4MAU]: MCSはすっごく使いやすいで。

ポリシー全く編集せずに特権分割まがいのことができる。
267 名前：login:Penguin mailto:sage [2006/04/11(火) 21:52:15 ID:BhjOi48X]: カテゴリーごとに分割するだけでいいってことかな。
勉強してみよう。
268 名前：login:Penguin mailto:sage [2006/04/16(日) 12:51:52 ID:3ADQtYrD]: SELinuxを有効にして運用しているサイトってどれぐらいあるの？
269 名前：login:Penguin mailto:sage [2006/04/16(日) 21:38:44 ID:Nq8scThW]: # ls -Z
が出来なくなりました

[root@xxxx ~]# ls -Z
Sorry, this option can only be used on a SELinux kernel.

こんなメッセージが出ます。
どこを直したら良いでしょうか？教えてください。
270 名前：269 mailto:sage [2006/04/16(日) 21:52:19 ID:Nq8scThW]: 自己解決しました。
SELinux Policy Editor　を導入したためでした。

お騒がせしてすいませんでした。
271 名前：login:Penguin mailto:sage [2006/04/18(火) 21:31:04 ID:H2PkL+Ho]: ラッセルって誰ですか？
272 名前：sage [2006/04/18(火) 21:39:30 ID:6edQt34n]: >>271
赤帽の人です
273 名前：login:Penguin mailto:sage [2006/04/18(火) 22:06:21 ID:H2PkL+Ho]: なるほど。赤帽の人ですか。
日本で勉強会するために来日とかですか
274 名前：login:Penguin mailto:sage [2006/05/01(月) 03:48:11 ID:GQZu5Odn]: ラッセルは何しにきたの？
275 名前：login:Penguin [2006/05/03(水) 16:22:37 ID:FbhDLGnH]: ここの過去ログかなり参考になったのであげときます

許可されていない操作です　で拒否られないようにっと＞＜
276 名前：login:Penguin [2006/05/12(金) 01:33:15 ID:VCbRI40x]: 政府が日本版SELinuxを税金でつくるらしいね。ホントかよ
TOMOYOでいいような気もするけど
277 名前：login:Penguin mailto:sage [2006/05/12(金) 16:50:02 ID:okAGl8Ef]: >>276
さすがにwinnyで情報流出のTVいっぱい流してたし、そういう流れでしょ
278 名前：login:Penguin mailto:sage [2006/05/13(土) 00:50:37 ID:LU0QM1Pb]: ブッシュ大統領、NSAによる米国内の通話データ収集を擁護
ttp://japan.cnet.com/news/media/story/0,2000056023,20111027,00.htm

こういう印象がNSAにはあるから、SELinuxを政府では使いたくなくて、
日本版をつくるってこと？
279 名前：login:Penguin mailto:sage [2006/05/13(土) 14:21:03 ID:Wq9uQuZR]: >>276
>>278の話もあるけど、
そんなことするなら、SELinuxの検証した方がいい気がする。

TOMOYOでもいいけど、RBACはこれからも予定はないんだろうか。
280 名前：login:Penguin mailto:sage [2006/05/13(土) 15:50:09 ID:LU0QM1Pb]: OSSなのに何か仕込まれているのかなあ？
バレたときいいわけできないじゃん
まあおエライ人の考えることだしねえ
281 名前：login:Penguin mailto:sage [2006/05/16(火) 10:55:12 ID:pcXHQYws]: >>278-280
文句言う前に、とりあえず喪前らソースでも読めよと。
282 名前：login:Penguin mailto:sage [2006/05/17(水) 22:36:52 ID:1oMw1vmW]: 政府の役人はNSAってだけで怖いんだな
283 名前：login:Penguin mailto:sage [2006/05/23(火) 22:05:47 ID:LUJq97y9]: 国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表

　開発を進める「次世代OS環境」は、WindowsやLinuxなどをゲストOSとして稼動
させることのできるVM（Virtual Machine）環境をイメージし、このVM環境に
セキュリティ機能を組み合わせた「セキュアVM」と呼ぶ環境の構築を目指す。

internet.watch.impress.co.jp/cda/news/2006/05/23/12063.html

これのこと？
284 名前：login:Penguin mailto:sage [2006/05/25(木) 02:18:55 ID:Vs8NYI9S]: ゲストOSにSELinuxつかうの？
285 名前：login:Penguin mailto:sage [2006/05/26(金) 14:23:37 ID:3bfbfETV]: enterprise.watch.impress.co.jp/cda/security/2006/05/26/7902.html

どこらへんが対応なんだかわからん。
286 名前：login:Penguin mailto:sage [2006/05/27(土) 01:54:56 ID:HE5H6UoF]: ServerProtect用のポリシーがついてくるとかｗ
287 名前：login:Penguin mailto:sage [2006/06/01(木) 23:43:14 ID:oI4VC7+d]: こんなもんに金かける前に
I18N を主導して欲しかったよ。
288 名前：login:Penguin mailto:sage [2006/06/02(金) 02:11:35 ID:uuFyJyYw]: LinuxWorld行った？
289 名前：login:Penguin mailto:sage [2006/06/02(金) 22:42:11 ID:hcD+Nubh]: LinuxConrefence行った？
290 名前：login:Penguin mailto:sage [2006/06/04(日) 20:52:17 ID:b5BKM+1t]: LinuxWorld行けなかった。。。
SELinuxネタは多かったの？
291 名前：login:Penguin mailto:sage [2006/06/05(月) 23:15:37 ID:v5HTa0C4]: >290
もう右を向いても左を向いてもSELinuxって感じだったよ。
292 名前：login:Penguin mailto:sage [2006/06/06(火) 15:30:58 ID:Y8NRdPWo]: ホントかよ！
なのに導入事例はいっさい聞いたことがない。。。
293 名前：login:Penguin mailto:sage [2006/06/07(水) 04:55:55 ID:4ZlW1/UC]: 前や後ろを向いたら違うものが見えてそうだ。
294 名前：login:Penguin mailto:sage [2006/06/08(木) 20:55:09 ID:RikEnc/R]: LIDSとAppArmorが見える
295 名前：login:Penguin mailto:sage [2006/06/13(火) 13:53:08 ID:bfyV1Zm2]: SELinux　　　　　　　　Sex
AppArmor　　　　　　　Armor

コンドーム！！
296 名前：login:Penguin mailto:sage [2006/06/13(火) 22:43:07 ID:HL9I0jGj]: SEXは
「Security-Enhanced X」
のことだよね
297 名前：login:Penguin [2006/06/28(水) 21:06:46 ID:LVP+o8HQ]: 2006年度UNIX/Linuxセキュリティ実践講座開催のご案内
www2.tamacc.chuo-u.ac.jp/kikoh/sec_ikusei/2006unix/unix2006.html
298 名前：login:Penguin mailto:sage [2006/07/02(日) 21:27:58 ID:S6c6I++3]: いまさらだが、なにこのスレタイ

"SELinux"で検索することぐらい普通考えられるだろ
299 名前：login:Penguin mailto:sage [2006/07/03(月) 00:55:52 ID:hS22+TsM]: >>33
300 名前：login:Penguin [2006/07/08(土) 11:39:20 ID:eo7Tt5Hp]: ＞＞２９８

Security Enhanced Linuxはアメリカでは、略してセックスと呼ばれることが多いので、
セックスもスレタイに入れたほうがよい。

Sexurity Enhanced linuX = SEX
301 名前：login:Penguin [2006/07/08(土) 21:12:37 ID:dC5O/xFW]: >>300
は？SE-XはSecurity Enhanced X (X Window System)のことだ。
SELinuxについて100万回勉強してから釣れ。
302 名前：login:Penguin mailto:sage [2006/07/09(日) 16:44:46 ID:rI2bNedh]: なんか設定ツールができたらしいね

100万回勉強したら高待遇で転職できるかも
303 名前：login:Penguin mailto:sage [2006/07/11(火) 13:01:25 ID:1lcYrZ+i]: あと99万と8600回くらいだなぁ・・・
304 名前：login:Penguin mailto:sage [2006/07/12(水) 08:09:47 ID:X5kF2WB6]: なにをもって一回と数えるの？
305 名前：login:Penguin mailto:sage [2006/07/13(木) 01:02:36 ID:Qfpp8B6o]: checkpolicyを実行してポリシーをビルドした回数でいいんじゃね？
306 名前：login:Penguin mailto:sage [2006/07/13(木) 05:30:16 ID:TZueCr6q]: 一日100回はビルドするから…1万日か。無理だｗ
307 名前：login:Penguin mailto:sage [2006/07/13(木) 20:57:38 ID:Qfpp8B6o]: >>306
長生きしないとな。
308 名前：login:Penguin mailto:sage [2006/07/13(木) 21:33:21 ID://G/Y/i2]: 並列処理しよう
309 名前：login:Penguin mailto:sage [2006/07/14(金) 00:28:11 ID:jt/F/kIF]: お仕事で鯖立てている人で、ポリシー設定を1からやらなきゃいけない場合どうやってる？

1.いきなりStrictにして1からゴリゴリポリシー定義
2.targetedで起動→もとから定義されているポリシーを基に必要なポリシーを定義。不必要なポリシーは捨てる
3.ポリシーエディタでGUIマンセーと言いながらポチポチ…
4.SELinuxマンドクセ(´Ａ｀)から使わない。クラッキング？されないよ。

さぁ、どれ？
310 名前：login:Penguin mailto:sage [2006/07/14(金) 08:42:38 ID:/litWvkG]: >>309
４
鯖移行の時間的猶予がなかったから
そこまで手が回らんかった
311 名前：login:Penguin mailto:sage [2006/07/14(金) 09:34:59 ID:fzToeWsD]: セキュリティコンテキストの粒度が粗すぎる。
手間のわりに得られるものが小さい。
312 名前：login:Penguin [2006/07/14(金) 11:22:31 ID:Au5mkboI]: >>309
1かな。SELinuxとポリシのバージョンにもよるけど
基本的には一つ一つつぶしていく。
おかげでシステムに変更があるたびにひぃひぃ言ってるけどねー。

>>311
というと？network周りの粒度はだめすぎだけど、どの辺が粗いの？
security contextってラベルのことで、粒度じゃないんだが…。
標準のポリシで宣言されてるsecurity contextが粒度が粗いってこと？
313 名前：login:Penguin mailto:sage [2006/07/15(土) 03:54:37 ID:o7cn6VKH]: 結局strict使わないとガマンできなくなってきた
targetedじゃ不満なの
314 名前：ひﾟょん♂ mailto:sage [2006/07/21(金) 18:21:36 ID:vpOGPyfK BE:756669896- ]: WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく！
315 名前：login:Penguin mailto:sage [2006/07/26(水) 01:51:01 ID:E/yMm3qA]: ttp://ja.wikipedia.org/wiki/SELinux
これだな
316 名前：login:Penguin mailto:sage [2006/07/28(金) 20:01:21 ID:naP4/z2F]: >>314 さん、残念！
317 名前：login:Penguin mailto:sage [2006/07/29(土) 01:05:53 ID:ooO7KrP9]: GFDL違反だったのね。はやく直してね
318 名前：ひﾟょん♂ mailto:sage [2006/07/30(日) 18:46:31 ID:7OZFwZRa BE:168148962-2BP(11)]: ｏｒｚ　
ひﾟょん♂はめげないびょん！　
みんなの努力は無駄にしないびょん！
319 名前：login:Penguin [2006/08/08(火) 02:17:53 ID:kKxQ5ddh]: /etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)

どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。

ちなみにOSはCentOS4.3です。
320 名前：login:Penguin [2006/08/09(水) 08:31:49 ID:sAXh/maJ]: おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん（ｗ
321 名前：login:Penguin mailto:sage [2006/08/09(水) 13:03:21 ID:EvfB/Ijo]: よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ﾟДﾟ)oﾌﾞﾝﾌﾞﾝ
322 名前：login:Penguin mailto:sage [2006/08/10(木) 11:49:00 ID:BuQH6vVh]: >>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況？
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな？

てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目？
323 名前：login:Penguin mailto:sage [2006/08/10(木) 19:48:38 ID:P0AUZ9Cm]: >>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする？と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。

sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。

対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。

/etc/init.d/postgresqlがいいサンプルです。いじょ
324 名前：319 mailto:sage [2006/08/11(金) 20:54:13 ID:FuajfgM8]: >>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。

ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。
325 名前：login:Penguin mailto:sage [2006/08/12(土) 01:52:44 ID:zNJFRxv2]: そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ？
326 名前：login:Penguin mailto:sage [2006/08/12(土) 01:56:48 ID:lXyPDQFa]: 労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。

jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。
327 名前：login:Penguin mailto:sage [2006/08/12(土) 13:00:38 ID:qaCnxs+9]: まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。

守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。
328 名前：login:Penguin mailto:sage [2006/08/13(日) 15:10:02 ID:MX6/xln0]: ACLでもroot権限がある限り意味なくね？
329 名前：login:Penguin mailto:sage [2006/08/13(日) 15:24:08 ID:9z7pAa4b]: rootのっとられたらそりゃ終わりさ。
330 名前：login:Penguin mailto:sage [2006/08/14(月) 01:06:55 ID:n3hb6PHF]: 管理者権限奪取を防ぐのがSELinuxじゃないの？
企業とか個人とかの問題ではないような
331 名前：login:Penguin mailto:sage [2006/08/14(月) 01:23:14 ID:6sxGzDLo]: 管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。

でも全Linuxerの何%がポリシー作るところからやってるのかな？
332 名前：322 mailto:sage [2006/08/14(月) 13:06:55 ID:PGuDhi6G]: >>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり？

>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば？という話になるし。
（POSIX ACL。Kernel2.6以降で利用可）

>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用）
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。

まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。
333 名前：login:Penguin mailto:sage [2006/08/14(月) 23:17:47 ID:6sxGzDLo]: >332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)

>人間業じゃなくて神業の領域だけど。
だよねえ。。
334 名前：login:Penguin mailto:sage [2006/08/14(月) 23:45:50 ID:n3hb6PHF]: TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー
335 名前：323 mailto:sage [2006/08/15(火) 21:20:16 ID:2nHPUtyi]: >>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
　# And start it up.
　if [ -z "$user" ]; then
　　$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
　else
　　$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
　fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。
336 名前：login:Penguin mailto:sage [2006/08/16(水) 15:29:47 ID:fEuPMp3H]: これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能？
337 名前：login:Penguin mailto:sage [2006/08/18(金) 13:01:52 ID:TZakQUvB]: SELinuxって実はけっこう使われているの？
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから
338 名前：login:Penguin mailto:sage [2006/08/18(金) 13:49:56 ID:GqAwobo6]: Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。
339 名前：login:Penguin mailto:sage [2006/08/24(木) 01:15:31 ID:jMRHgiY/]: unconfined_tってフルアクセス権じゃないってこと？

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef