- 1 名前:login:Penguin [04/06/12 05:18 ID:s7bBlWwQ]
- SE Linux についてのスレです。
利点、問題点、導入に当たっての注意など。
www.selinux.jp/
www.selinux.gr.jp/
www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652
- 276 名前:login:Penguin [2006/05/12(金) 01:33:15 ID:VCbRI40x]
- 政府が日本版SELinuxを税金でつくるらしいね。ホントかよ
TOMOYOでいいような気もするけど
- 277 名前:login:Penguin mailto:sage [2006/05/12(金) 16:50:02 ID:okAGl8Ef]
- >>276
さすがにwinnyで情報流出のTVいっぱい流してたし、そういう流れでしょ
- 278 名前:login:Penguin mailto:sage [2006/05/13(土) 00:50:37 ID:LU0QM1Pb]
- ブッシュ大統領、NSAによる米国内の通話データ収集を擁護
ttp://japan.cnet.com/news/media/story/0,2000056023,20111027,00.htm
こういう印象がNSAにはあるから、SELinuxを政府では使いたくなくて、
日本版をつくるってこと?
- 279 名前:login:Penguin mailto:sage [2006/05/13(土) 14:21:03 ID:Wq9uQuZR]
- >>276
>>278の話もあるけど、
そんなことするなら、SELinuxの検証した方がいい気がする。
TOMOYOでもいいけど、RBACはこれからも予定はないんだろうか。
- 280 名前:login:Penguin mailto:sage [2006/05/13(土) 15:50:09 ID:LU0QM1Pb]
- OSSなのに何か仕込まれているのかなあ?
バレたときいいわけできないじゃん
まあおエライ人の考えることだしねえ
- 281 名前:login:Penguin mailto:sage [2006/05/16(火) 10:55:12 ID:pcXHQYws]
- >>278-280
文句言う前に、とりあえず喪前らソースでも読めよと。
- 282 名前:login:Penguin mailto:sage [2006/05/17(水) 22:36:52 ID:1oMw1vmW]
- 政府の役人はNSAってだけで怖いんだな
- 283 名前:login:Penguin mailto:sage [2006/05/23(火) 22:05:47 ID:LUJq97y9]
- 国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表
開発を進める「次世代OS環境」は、WindowsやLinuxなどをゲストOSとして稼動
させることのできるVM(Virtual Machine)環境をイメージし、このVM環境に
セキュリティ機能を組み合わせた「セキュアVM」と呼ぶ環境の構築を目指す。
internet.watch.impress.co.jp/cda/news/2006/05/23/12063.html
これのこと?
- 284 名前:login:Penguin mailto:sage [2006/05/25(木) 02:18:55 ID:Vs8NYI9S]
- ゲストOSにSELinuxつかうの?
- 285 名前:login:Penguin mailto:sage [2006/05/26(金) 14:23:37 ID:3bfbfETV]
- enterprise.watch.impress.co.jp/cda/security/2006/05/26/7902.html
どこらへんが対応なんだかわからん。
- 286 名前:login:Penguin mailto:sage [2006/05/27(土) 01:54:56 ID:HE5H6UoF]
- ServerProtect用のポリシーがついてくるとかw
- 287 名前:login:Penguin mailto:sage [2006/06/01(木) 23:43:14 ID:oI4VC7+d]
- こんなもんに金かける前に
I18N を主導して欲しかったよ。
- 288 名前:login:Penguin mailto:sage [2006/06/02(金) 02:11:35 ID:uuFyJyYw]
- LinuxWorld行った?
- 289 名前:login:Penguin mailto:sage [2006/06/02(金) 22:42:11 ID:hcD+Nubh]
- LinuxConrefence行った?
- 290 名前:login:Penguin mailto:sage [2006/06/04(日) 20:52:17 ID:b5BKM+1t]
- LinuxWorld行けなかった。。。
SELinuxネタは多かったの?
- 291 名前:login:Penguin mailto:sage [2006/06/05(月) 23:15:37 ID:v5HTa0C4]
- >290
もう右を向いても左を向いてもSELinuxって感じだったよ。
- 292 名前:login:Penguin mailto:sage [2006/06/06(火) 15:30:58 ID:Y8NRdPWo]
- ホントかよ!
なのに導入事例はいっさい聞いたことがない。。。
- 293 名前:login:Penguin mailto:sage [2006/06/07(水) 04:55:55 ID:4ZlW1/UC]
- 前や後ろを向いたら違うものが見えてそうだ。
- 294 名前:login:Penguin mailto:sage [2006/06/08(木) 20:55:09 ID:RikEnc/R]
- LIDSとAppArmorが見える
- 295 名前:login:Penguin mailto:sage [2006/06/13(火) 13:53:08 ID:bfyV1Zm2]
- SELinux Sex
AppArmor Armor
コンドーム!!
- 296 名前:login:Penguin mailto:sage [2006/06/13(火) 22:43:07 ID:HL9I0jGj]
- SEXは
「Security-Enhanced X」
のことだよね
- 297 名前:login:Penguin [2006/06/28(水) 21:06:46 ID:LVP+o8HQ]
- 2006年度UNIX/Linuxセキュリティ実践講座開催のご案内
www2.tamacc.chuo-u.ac.jp/kikoh/sec_ikusei/2006unix/unix2006.html
- 298 名前:login:Penguin mailto:sage [2006/07/02(日) 21:27:58 ID:S6c6I++3]
- いまさらだが、なにこのスレタイ
"SELinux"で検索することぐらい普通考えられるだろ
- 299 名前:login:Penguin mailto:sage [2006/07/03(月) 00:55:52 ID:hS22+TsM]
- >>33
- 300 名前:login:Penguin [2006/07/08(土) 11:39:20 ID:eo7Tt5Hp]
- >>298
Security Enhanced Linuxはアメリカでは、略してセックスと呼ばれることが多いので、
セックスもスレタイに入れたほうがよい。
Sexurity Enhanced linuX = SEX
- 301 名前:login:Penguin [2006/07/08(土) 21:12:37 ID:dC5O/xFW]
- >>300
は?SE-XはSecurity Enhanced X (X Window System)のことだ。
SELinuxについて100万回勉強してから釣れ。
- 302 名前:login:Penguin mailto:sage [2006/07/09(日) 16:44:46 ID:rI2bNedh]
- なんか設定ツールができたらしいね
100万回勉強したら高待遇で転職できるかも
- 303 名前:login:Penguin mailto:sage [2006/07/11(火) 13:01:25 ID:1lcYrZ+i]
- あと99万と8600回くらいだなぁ・・・
- 304 名前:login:Penguin mailto:sage [2006/07/12(水) 08:09:47 ID:X5kF2WB6]
- なにをもって一回と数えるの?
- 305 名前:login:Penguin mailto:sage [2006/07/13(木) 01:02:36 ID:Qfpp8B6o]
- checkpolicyを実行してポリシーをビルドした回数でいいんじゃね?
- 306 名前:login:Penguin mailto:sage [2006/07/13(木) 05:30:16 ID:TZueCr6q]
- 一日100回はビルドするから…1万日か。無理だw
- 307 名前:login:Penguin mailto:sage [2006/07/13(木) 20:57:38 ID:Qfpp8B6o]
- >>306
長生きしないとな。
- 308 名前:login:Penguin mailto:sage [2006/07/13(木) 21:33:21 ID://G/Y/i2]
- 並列処理しよう
- 309 名前:login:Penguin mailto:sage [2006/07/14(金) 00:28:11 ID:jt/F/kIF]
- お仕事で鯖立てている人で、ポリシー設定を1からやらなきゃいけない場合どうやってる?
1.いきなりStrictにして1からゴリゴリポリシー定義
2.targetedで起動→もとから定義されているポリシーを基に必要なポリシーを定義。不必要なポリシーは捨てる
3.ポリシーエディタでGUIマンセーと言いながらポチポチ…
4.SELinuxマンドクセ(´A`)から使わない。クラッキング?されないよ。
さぁ、どれ?
- 310 名前:login:Penguin mailto:sage [2006/07/14(金) 08:42:38 ID:/litWvkG]
- >>309
4
鯖移行の時間的猶予がなかったから
そこまで手が回らんかった
- 311 名前:login:Penguin mailto:sage [2006/07/14(金) 09:34:59 ID:fzToeWsD]
- セキュリティコンテキストの粒度が粗すぎる。
手間のわりに得られるものが小さい。
- 312 名前:login:Penguin [2006/07/14(金) 11:22:31 ID:Au5mkboI]
- >>309
1かな。SELinuxとポリシのバージョンにもよるけど
基本的には一つ一つつぶしていく。
おかげでシステムに変更があるたびにひぃひぃ言ってるけどねー。
>>311
というと?network周りの粒度はだめすぎだけど、どの辺が粗いの?
security contextってラベルのことで、粒度じゃないんだが…。
標準のポリシで宣言されてるsecurity contextが粒度が粗いってこと?
- 313 名前:login:Penguin mailto:sage [2006/07/15(土) 03:54:37 ID:o7cn6VKH]
- 結局strict使わないとガマンできなくなってきた
targetedじゃ不満なの
- 314 名前:ぴょん♂ mailto:sage [2006/07/21(金) 18:21:36 ID:vpOGPyfK BE:756669896- ]
- WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく!
- 315 名前:login:Penguin mailto:sage [2006/07/26(水) 01:51:01 ID:E/yMm3qA]
- ttp://ja.wikipedia.org/wiki/SELinux
これだな
- 316 名前:login:Penguin mailto:sage [2006/07/28(金) 20:01:21 ID:naP4/z2F]
- >>314 さん、残念!
- 317 名前:login:Penguin mailto:sage [2006/07/29(土) 01:05:53 ID:ooO7KrP9]
- GFDL違反だったのね。はやく直してね
- 318 名前:ぴょん♂ mailto:sage [2006/07/30(日) 18:46:31 ID:7OZFwZRa BE:168148962-2BP(11)]
- orz
ぴょん♂はめげないびょん!
みんなの努力は無駄にしないびょん!
- 319 名前:login:Penguin [2006/08/08(火) 02:17:53 ID:kKxQ5ddh]
- /etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)
どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。
ちなみにOSはCentOS4.3です。
- 320 名前:login:Penguin [2006/08/09(水) 08:31:49 ID:sAXh/maJ]
- おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん(w
- 321 名前:login:Penguin mailto:sage [2006/08/09(水) 13:03:21 ID:EvfB/Ijo]
- よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ゚Д゚)oブンブン
- 322 名前:login:Penguin mailto:sage [2006/08/10(木) 11:49:00 ID:BuQH6vVh]
- >>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況?
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな?
てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目?
- 323 名前:login:Penguin mailto:sage [2006/08/10(木) 19:48:38 ID:P0AUZ9Cm]
- >>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする?と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。
sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。
対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。
/etc/init.d/postgresqlがいいサンプルです。いじょ
- 324 名前:319 mailto:sage [2006/08/11(金) 20:54:13 ID:FuajfgM8]
- >>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。
ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。
- 325 名前:login:Penguin mailto:sage [2006/08/12(土) 01:52:44 ID:zNJFRxv2]
- そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ?
- 326 名前:login:Penguin mailto:sage [2006/08/12(土) 01:56:48 ID:lXyPDQFa]
- 労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。
jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。
- 327 名前:login:Penguin mailto:sage [2006/08/12(土) 13:00:38 ID:qaCnxs+9]
- まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。
守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。
- 328 名前:login:Penguin mailto:sage [2006/08/13(日) 15:10:02 ID:MX6/xln0]
- ACLでもroot権限がある限り意味なくね?
- 329 名前:login:Penguin mailto:sage [2006/08/13(日) 15:24:08 ID:9z7pAa4b]
- rootのっとられたらそりゃ終わりさ。
- 330 名前:login:Penguin mailto:sage [2006/08/14(月) 01:06:55 ID:n3hb6PHF]
- 管理者権限奪取を防ぐのがSELinuxじゃないの?
企業とか個人とかの問題ではないような
- 331 名前:login:Penguin mailto:sage [2006/08/14(月) 01:23:14 ID:6sxGzDLo]
- 管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。
でも全Linuxerの何%がポリシー作るところからやってるのかな?
- 332 名前:322 mailto:sage [2006/08/14(月) 13:06:55 ID:PGuDhi6G]
- >>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり?
>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば?という話になるし。
(POSIX ACL。Kernel2.6以降で利用可)
>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用)
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。
まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。
- 333 名前:login:Penguin mailto:sage [2006/08/14(月) 23:17:47 ID:6sxGzDLo]
- >332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)
>人間業じゃなくて神業の領域だけど。
だよねえ。。
- 334 名前:login:Penguin mailto:sage [2006/08/14(月) 23:45:50 ID:n3hb6PHF]
- TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー
- 335 名前:323 mailto:sage [2006/08/15(火) 21:20:16 ID:2nHPUtyi]
- >>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
# And start it up.
if [ -z "$user" ]; then
$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
else
$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。
- 336 名前:login:Penguin mailto:sage [2006/08/16(水) 15:29:47 ID:fEuPMp3H]
- これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能?
- 337 名前:login:Penguin mailto:sage [2006/08/18(金) 13:01:52 ID:TZakQUvB]
- SELinuxって実はけっこう使われているの?
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから
- 338 名前:login:Penguin mailto:sage [2006/08/18(金) 13:49:56 ID:GqAwobo6]
- Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。
- 339 名前:login:Penguin mailto:sage [2006/08/24(木) 01:15:31 ID:jMRHgiY/]
- unconfined_tってフルアクセス権じゃないってこと?
- 340 名前:login:Penguin mailto:sage [2006/09/19(火) 03:54:30 ID:SAA96Un5]
- 思ったほど難しくないよね
- 341 名前:319 [2006/10/07(土) 01:49:39 ID:0VQxcj1l]
- 結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。
このスレも廃れてますね…
- 342 名前:login:Penguin mailto:sage [2006/11/24(金) 22:38:24 ID:wx5gf/fe]
- 誰か、これわかる?
ttp://bbs.fedora.jp/read.php?FID=9&TID=4775
- 343 名前:login:Penguin mailto:sage [2006/11/26(日) 02:08:18 ID:fQeoc878]
- SELinux儲かってる?
- 344 名前:login:Penguin mailto:sage [2006/12/04(月) 23:54:45 ID:g4pIfnK5]
- >>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ
継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、5年後位には変更が
超困難なシステムになってそう。
- 345 名前:login:Penguin mailto:sage [2006/12/08(金) 02:26:01 ID:uYBNBzil]
- メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない?
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない?
- 346 名前:login:Penguin mailto:sage [2006/12/14(木) 01:16:38 ID:FEduJ84b]
- そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。
非常にうまいパズルみたいな設定を思いついても、未来の自分とか5年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。
- 347 名前:login:Penguin mailto:sage [2007/01/01(月) 14:03:54 ID:ZA4pg8/A]
- サーバのセットアップは10%が設定で90%がドキュメント書きです。
- 348 名前:login:Penguin mailto:sage [2007/01/01(月) 17:06:03 ID:cCEHaAby]
- しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・
- 349 名前:login:Penguin mailto:sage [2007/01/01(月) 21:18:49 ID:ZA4pg8/A]
- あるあ・・・・・
・・・ある
- 350 名前:login:Penguin [2007/02/03(土) 21:22:32 ID:genGKaeR]
- SEEdit使えるディス鳥だと滅茶苦茶楽なのね
- 351 名前:login:Penguin [2007/02/03(土) 23:18:08 ID:Mbd9W+hX]
- >>350
debianにも対応して欲すい。
- 352 名前:login:Penguin mailto:sage [2007/02/03(土) 23:58:53 ID:95H1oCnY]
- SLIDE
oss.tresys.com/projects/slide
- 353 名前:login:Penguin mailto:sage [2007/02/04(日) 01:24:01 ID:JEZbmpW6]
- >>352
うーむ。玄人向けのツールでつねw。
- 354 名前:login:Penguin mailto:sage [2007/02/04(日) 15:36:22 ID:5jUhfyFG]
- restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。
- 355 名前:login:Penguin mailto:sage [2007/02/04(日) 18:51:49 ID:weMH9ex9]
- >>354
どういうこと?
- 356 名前:login:Penguin [2007/02/14(水) 02:14:49 ID:7vXpsxj1]
- pc9.2ch.net/test/read.cgi/mac/1171230282/64-66 によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです
- 357 名前:login:Penguin mailto:sage [2007/02/14(水) 02:58:07 ID:m4IlMoGA]
- セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。
SEBSDだってSEDarwinだってあるのにねー。
まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。
- 358 名前:login:Penguin mailto:sage [2007/02/14(水) 08:58:01 ID:niX0xEiK]
- Debian sidでSELinuxを有効にしてみた。
ttp://wiki.debian.org/SELinux
を見てやってみた。とりあえずpassiveモードで動かすことにしよう。
動かした後は、
ttp://fedora.redhat.com/docs/selinux-faq-fc5/
に書かれていることの方が詳しいらしい。英語だけど。
- 359 名前:login:Penguin mailto:sage [2007/02/14(水) 16:28:27 ID:1y5ZKtbN]
- 慣れれば簡単だよ。がんばれ!
- 360 名前:login:Penguin [2007/02/15(木) 03:14:44 ID:m3smwIxK]
- 今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった
Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった
しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。
どうやったらSamba使ってのファイルの移動ができるようになりますか?
SELinuxをオフとかPassiveモードはなしでお願いします。
- 361 名前:login:Penguin [2007/02/15(木) 03:57:07 ID:m3smwIxK]
- げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったw
Linux触って1ヶ月も経たない俺じゃ無理だな
SELinux OFF。。。
- 362 名前:login:Penguin [2007/02/15(木) 08:57:40 ID:43dnQNxp]
- SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。
- 363 名前:login:Penguin mailto:sage [2007/02/16(金) 01:34:40 ID:wqIfZsXx]
- SELinuxでSamba使えるようにするおまじないってあるのか?
もれは挫折したよw
- 364 名前:login:Penguin [2007/02/20(火) 03:52:53 ID:Ca1ZTyX/]
- samba_enable_home_dirs
- 365 名前:login:Penguin mailto:sage [2007/02/21(水) 09:08:43 ID:LnST7+x3]
- こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。
こういうものは、GUIツールで
カテゴリ別に分類し、
説明(当然日本語)を横に併記するツールを
使わないと手におえない。
昔のアドベンチャーゲームみたいだよ。
しっているか? 昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。
「go west」「open door」見たいにね。
こんなの今やりたいと思う?
- 366 名前:login:Penguin mailto:sage [2007/02/22(木) 10:08:59 ID:Npz4O/wL]
- GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。
- 367 名前:login:Penguin mailto:sage [2007/02/22(木) 17:04:53 ID:sTb3TkGi]
- >>365
polish pillar
- 368 名前:login:Penguin [2007/02/23(金) 01:34:09 ID:qdcf1zF9]
- >>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った
- 369 名前:login:Penguin [2007/03/11(日) 08:22:06 ID:wX/2NnTP]
- SEポスグレってすごいの?
- 370 名前:login:Penguin [2007/04/06(金) 01:06:33 ID:UPWHeFdH]
- で、誰か実際につかっているの?
- 371 名前:login:Penguin mailto:sage [2007/04/06(金) 04:13:38 ID:cKBkkTOC]
- ノ
- 372 名前:login:Penguin mailto:sage [2007/04/08(日) 14:11:42 ID:LO1Xtzj3]
- /opt以下につっこんであるやつの設定を追加しようとしたけど
元々の/optのが優先されててだめぽ
なんか悔しいぞ
- 373 名前:login:Penguin [2007/04/10(火) 02:00:50 ID:hMSFLh9c]
- ↑?
- 374 名前:login:Penguin mailto:sage [2007/04/10(火) 02:54:48 ID:rNCKWXPT]
- Security Contextを貼り付けたいんだけど、
既に定義が書かれていてコンフリクトした挙句、
元々のが優先されるって意味だと解釈してみるテスト
- 375 名前:login:Penguin [2007/04/22(日) 01:35:18 ID:PB4N3AEh]
- >>374
semanageでファイルコンテキストを設定できるにょ。
- 376 名前:login:Penguin mailto:sage [2007/05/10(木) 18:20:01 ID:BLf25W9d]
- えっと
今 CentOS 5.0 + Apache 2.2.3 + SELinux でドツボにはまってます。
google先生に聞いても埒があかない状態で困ってます。
まずは、ここにあることは全部やったんです。
ttp://bbs.fedora.jp/read.php?FID=9&TID=4246
だけど
chcon -R -t public_content_rw_t public_html
をやると、cgi(Perl記述のもの) が正常に実行されません。
Internal Server Error です。
/var/log/httpd/suexec.log をみると
「cannot get docroot information (/home/user1)」が出ています。
suexecは有効になっていません。(apachectl -V って実行すれば確認できるんですよね?)
setenforce 0 をすると動くし、
/sbin/restorecon -RF public_html をすると動くんです。
もし、何らかのヒント、キーワードなどを提示できる方がいらっしゃいましたら、ご教示お願いします。
- 377 名前:login:Penguin mailto:sage [2007/05/10(木) 19:18:43 ID:NluEhGm9]
- えーと、俺まだ4.4使ってるんで詳しいことは分からないのだが、まずはgetseboolしてごらん。
- 378 名前:376 mailto:sage [2007/05/11(金) 14:21:27 ID:Nl1Y51hb]
- えっと、すいません。
getsebool -a 眺めてもさっぱりわかりませんでした。
んで、その中に
httpd_enable_ftp_server
なんてものを見つけて、これをONにしたら、
chcon -R -t public_content_rw_t public_html
/usr/sbin/setsebool -P allow_ftpd_anon_write 1
/usr/sbin/setsebool -P allow_smbd_anon_write 1
これらをやらなくてもちゃんと FTP で読み書きできるじゃないですか。。。
Sambaでのpublic_htmlは、便利とともに、問題も感じていたので、
この際、FTPベースでの運用に切り替えたいと思います。
どうもありがとうございました。
- 379 名前:377 mailto:sage [2007/05/11(金) 14:35:57 ID:Yp1rNt+V]
- 実験環境の5で見てみたけど
man httpd_selinuxしても、まだhttpd_enable_ftp_serverの説明はないみたいだね。
一応、httpd_selinuxのmanが書かれた時期は
public_content_*_tにすることでSambaやらhttpdやらで共有できるようにはなるとある。
…まぁ、targetedならsambaにせよ、幾つかseboolのフラグ変えるだけで問題ないんだけどね。
- 380 名前:login:Penguin [2007/06/16(土) 21:03:04 ID:TVeCm9rc]
- seeditの*.deb版マダー?
- 381 名前:login:Penguin mailto:sage [2007/06/21(木) 19:27:53 ID:Li79wnCV]
- www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html
- 382 名前:login:Penguin [2007/06/30(土) 23:12:48 ID:k22DBsYL]
- >>381
> www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html
でも、まだまだSELinuxって使いにくいよねぇ。
- 383 名前:login:Penguin [2007/07/04(水) 12:50:00 ID:53ILzz44]
- TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
1000000ペリカ
- 384 名前:login:Penguin mailto:sage [2007/07/07(土) 13:43:54 ID:gAah8Via]
- 習合って……双方の開発主体を知ってて言ってる?
だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
ttp://esashi.mobi/~matthew/wordpress/archives/80
ここいら見てみなよ。
あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。
- 385 名前:login:Penguin mailto:sage [2007/11/08(木) 02:31:23 ID:2bvNqaeb]
- SELinuxを有効化した導入は進んでますか?
- 386 名前:login:Penguin [2007/11/16(金) 03:49:29 ID:Mx9qhpa0]
- ubuntuでselinux入れてみた
動かない MLで揉めてるふいんきだw
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ ウーム
ぐぐってるとバグだらけのオカン
- 387 名前:login:Penguin [2007/11/16(金) 08:08:20 ID:ub3hseD8]
- >>386
ディストロに拘りがないなら Fedora にしてみたら?
今のところ、俺のところでは特に問題なく動いてるよ。
- 388 名前:login:Penguin [2007/11/17(土) 21:10:08 ID:67XJ07B1]
- >>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよw
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな 茨の道はまだまだ続く
- 389 名前:login:Penguin mailto:sage [2007/12/28(金) 22:07:31 ID:XM+yOsqH]
- ・kernelに権限昇格の脆弱性がある
・WEBアプリ(PHPやCGI)に脆弱性があって、ローカルアタックかけられる状態
この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか?
- 390 名前:login:Penguin mailto:age [2008/01/02(水) 18:01:48 ID:uxhAJiRr]
- age
- 391 名前:login:Penguin [2008/01/13(日) 21:53:54 ID:8SqKnp92]
- help me
SELinuxを勉強したいんで頑張ってます。
MySQLは起動してるんですが(シェルから入れる)
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。
- 392 名前:login:Penguin [2008/01/13(日) 21:57:28 ID:8SqKnp92]
- あ!httpd_can_network_connect_db=1にしたら接続できました!
お騒がせして申し訳ない。
- 393 名前:login:Penguin [2009/03/01(日) 12:10:06 ID:qMTRjR4D]
- ぬるぽ
|
 |
