- 1 名前:login:Penguin [04/06/12 05:18 ID:s7bBlWwQ]
- SE Linux についてのスレです。
利点、問題点、導入に当たっての注意など。
www.selinux.jp/
www.selinux.gr.jp/
www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652
- 331 名前:login:Penguin mailto:sage [2006/08/14(月) 01:23:14 ID:6sxGzDLo]
- 管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。
でも全Linuxerの何%がポリシー作るところからやってるのかな?
- 332 名前:322 mailto:sage [2006/08/14(月) 13:06:55 ID:PGuDhi6G]
- >>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり?
>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば?という話になるし。
(POSIX ACL。Kernel2.6以降で利用可)
>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用)
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。
まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。
- 333 名前:login:Penguin mailto:sage [2006/08/14(月) 23:17:47 ID:6sxGzDLo]
- >332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)
>人間業じゃなくて神業の領域だけど。
だよねえ。。
- 334 名前:login:Penguin mailto:sage [2006/08/14(月) 23:45:50 ID:n3hb6PHF]
- TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー
- 335 名前:323 mailto:sage [2006/08/15(火) 21:20:16 ID:2nHPUtyi]
- >>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
# And start it up.
if [ -z "$user" ]; then
$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
else
$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。
- 336 名前:login:Penguin mailto:sage [2006/08/16(水) 15:29:47 ID:fEuPMp3H]
- これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能?
- 337 名前:login:Penguin mailto:sage [2006/08/18(金) 13:01:52 ID:TZakQUvB]
- SELinuxって実はけっこう使われているの?
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから
- 338 名前:login:Penguin mailto:sage [2006/08/18(金) 13:49:56 ID:GqAwobo6]
- Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。
- 339 名前:login:Penguin mailto:sage [2006/08/24(木) 01:15:31 ID:jMRHgiY/]
- unconfined_tってフルアクセス権じゃないってこと?
- 340 名前:login:Penguin mailto:sage [2006/09/19(火) 03:54:30 ID:SAA96Un5]
- 思ったほど難しくないよね
- 341 名前:319 [2006/10/07(土) 01:49:39 ID:0VQxcj1l]
- 結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。
このスレも廃れてますね…
- 342 名前:login:Penguin mailto:sage [2006/11/24(金) 22:38:24 ID:wx5gf/fe]
- 誰か、これわかる?
ttp://bbs.fedora.jp/read.php?FID=9&TID=4775
- 343 名前:login:Penguin mailto:sage [2006/11/26(日) 02:08:18 ID:fQeoc878]
- SELinux儲かってる?
- 344 名前:login:Penguin mailto:sage [2006/12/04(月) 23:54:45 ID:g4pIfnK5]
- >>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ
継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、5年後位には変更が
超困難なシステムになってそう。
- 345 名前:login:Penguin mailto:sage [2006/12/08(金) 02:26:01 ID:uYBNBzil]
- メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない?
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない?
- 346 名前:login:Penguin mailto:sage [2006/12/14(木) 01:16:38 ID:FEduJ84b]
- そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。
非常にうまいパズルみたいな設定を思いついても、未来の自分とか5年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。
- 347 名前:login:Penguin mailto:sage [2007/01/01(月) 14:03:54 ID:ZA4pg8/A]
- サーバのセットアップは10%が設定で90%がドキュメント書きです。
- 348 名前:login:Penguin mailto:sage [2007/01/01(月) 17:06:03 ID:cCEHaAby]
- しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・
- 349 名前:login:Penguin mailto:sage [2007/01/01(月) 21:18:49 ID:ZA4pg8/A]
- あるあ・・・・・
・・・ある
- 350 名前:login:Penguin [2007/02/03(土) 21:22:32 ID:genGKaeR]
- SEEdit使えるディス鳥だと滅茶苦茶楽なのね
- 351 名前:login:Penguin [2007/02/03(土) 23:18:08 ID:Mbd9W+hX]
- >>350
debianにも対応して欲すい。
- 352 名前:login:Penguin mailto:sage [2007/02/03(土) 23:58:53 ID:95H1oCnY]
- SLIDE
oss.tresys.com/projects/slide
- 353 名前:login:Penguin mailto:sage [2007/02/04(日) 01:24:01 ID:JEZbmpW6]
- >>352
うーむ。玄人向けのツールでつねw。
- 354 名前:login:Penguin mailto:sage [2007/02/04(日) 15:36:22 ID:5jUhfyFG]
- restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。
- 355 名前:login:Penguin mailto:sage [2007/02/04(日) 18:51:49 ID:weMH9ex9]
- >>354
どういうこと?
- 356 名前:login:Penguin [2007/02/14(水) 02:14:49 ID:7vXpsxj1]
- pc9.2ch.net/test/read.cgi/mac/1171230282/64-66 によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです
- 357 名前:login:Penguin mailto:sage [2007/02/14(水) 02:58:07 ID:m4IlMoGA]
- セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。
SEBSDだってSEDarwinだってあるのにねー。
まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。
- 358 名前:login:Penguin mailto:sage [2007/02/14(水) 08:58:01 ID:niX0xEiK]
- Debian sidでSELinuxを有効にしてみた。
ttp://wiki.debian.org/SELinux
を見てやってみた。とりあえずpassiveモードで動かすことにしよう。
動かした後は、
ttp://fedora.redhat.com/docs/selinux-faq-fc5/
に書かれていることの方が詳しいらしい。英語だけど。
- 359 名前:login:Penguin mailto:sage [2007/02/14(水) 16:28:27 ID:1y5ZKtbN]
- 慣れれば簡単だよ。がんばれ!
- 360 名前:login:Penguin [2007/02/15(木) 03:14:44 ID:m3smwIxK]
- 今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった
Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった
しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。
どうやったらSamba使ってのファイルの移動ができるようになりますか?
SELinuxをオフとかPassiveモードはなしでお願いします。
- 361 名前:login:Penguin [2007/02/15(木) 03:57:07 ID:m3smwIxK]
- げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったw
Linux触って1ヶ月も経たない俺じゃ無理だな
SELinux OFF。。。
- 362 名前:login:Penguin [2007/02/15(木) 08:57:40 ID:43dnQNxp]
- SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。
- 363 名前:login:Penguin mailto:sage [2007/02/16(金) 01:34:40 ID:wqIfZsXx]
- SELinuxでSamba使えるようにするおまじないってあるのか?
もれは挫折したよw
- 364 名前:login:Penguin [2007/02/20(火) 03:52:53 ID:Ca1ZTyX/]
- samba_enable_home_dirs
- 365 名前:login:Penguin mailto:sage [2007/02/21(水) 09:08:43 ID:LnST7+x3]
- こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。
こういうものは、GUIツールで
カテゴリ別に分類し、
説明(当然日本語)を横に併記するツールを
使わないと手におえない。
昔のアドベンチャーゲームみたいだよ。
しっているか? 昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。
「go west」「open door」見たいにね。
こんなの今やりたいと思う?
- 366 名前:login:Penguin mailto:sage [2007/02/22(木) 10:08:59 ID:Npz4O/wL]
- GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。
- 367 名前:login:Penguin mailto:sage [2007/02/22(木) 17:04:53 ID:sTb3TkGi]
- >>365
polish pillar
- 368 名前:login:Penguin [2007/02/23(金) 01:34:09 ID:qdcf1zF9]
- >>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った
- 369 名前:login:Penguin [2007/03/11(日) 08:22:06 ID:wX/2NnTP]
- SEポスグレってすごいの?
- 370 名前:login:Penguin [2007/04/06(金) 01:06:33 ID:UPWHeFdH]
- で、誰か実際につかっているの?
- 371 名前:login:Penguin mailto:sage [2007/04/06(金) 04:13:38 ID:cKBkkTOC]
- ノ
- 372 名前:login:Penguin mailto:sage [2007/04/08(日) 14:11:42 ID:LO1Xtzj3]
- /opt以下につっこんであるやつの設定を追加しようとしたけど
元々の/optのが優先されててだめぽ
なんか悔しいぞ
- 373 名前:login:Penguin [2007/04/10(火) 02:00:50 ID:hMSFLh9c]
- ↑?
- 374 名前:login:Penguin mailto:sage [2007/04/10(火) 02:54:48 ID:rNCKWXPT]
- Security Contextを貼り付けたいんだけど、
既に定義が書かれていてコンフリクトした挙句、
元々のが優先されるって意味だと解釈してみるテスト
- 375 名前:login:Penguin [2007/04/22(日) 01:35:18 ID:PB4N3AEh]
- >>374
semanageでファイルコンテキストを設定できるにょ。
- 376 名前:login:Penguin mailto:sage [2007/05/10(木) 18:20:01 ID:BLf25W9d]
- えっと
今 CentOS 5.0 + Apache 2.2.3 + SELinux でドツボにはまってます。
google先生に聞いても埒があかない状態で困ってます。
まずは、ここにあることは全部やったんです。
ttp://bbs.fedora.jp/read.php?FID=9&TID=4246
だけど
chcon -R -t public_content_rw_t public_html
をやると、cgi(Perl記述のもの) が正常に実行されません。
Internal Server Error です。
/var/log/httpd/suexec.log をみると
「cannot get docroot information (/home/user1)」が出ています。
suexecは有効になっていません。(apachectl -V って実行すれば確認できるんですよね?)
setenforce 0 をすると動くし、
/sbin/restorecon -RF public_html をすると動くんです。
もし、何らかのヒント、キーワードなどを提示できる方がいらっしゃいましたら、ご教示お願いします。
- 377 名前:login:Penguin mailto:sage [2007/05/10(木) 19:18:43 ID:NluEhGm9]
- えーと、俺まだ4.4使ってるんで詳しいことは分からないのだが、まずはgetseboolしてごらん。
- 378 名前:376 mailto:sage [2007/05/11(金) 14:21:27 ID:Nl1Y51hb]
- えっと、すいません。
getsebool -a 眺めてもさっぱりわかりませんでした。
んで、その中に
httpd_enable_ftp_server
なんてものを見つけて、これをONにしたら、
chcon -R -t public_content_rw_t public_html
/usr/sbin/setsebool -P allow_ftpd_anon_write 1
/usr/sbin/setsebool -P allow_smbd_anon_write 1
これらをやらなくてもちゃんと FTP で読み書きできるじゃないですか。。。
Sambaでのpublic_htmlは、便利とともに、問題も感じていたので、
この際、FTPベースでの運用に切り替えたいと思います。
どうもありがとうございました。
- 379 名前:377 mailto:sage [2007/05/11(金) 14:35:57 ID:Yp1rNt+V]
- 実験環境の5で見てみたけど
man httpd_selinuxしても、まだhttpd_enable_ftp_serverの説明はないみたいだね。
一応、httpd_selinuxのmanが書かれた時期は
public_content_*_tにすることでSambaやらhttpdやらで共有できるようにはなるとある。
…まぁ、targetedならsambaにせよ、幾つかseboolのフラグ変えるだけで問題ないんだけどね。
- 380 名前:login:Penguin [2007/06/16(土) 21:03:04 ID:TVeCm9rc]
- seeditの*.deb版マダー?
- 381 名前:login:Penguin mailto:sage [2007/06/21(木) 19:27:53 ID:Li79wnCV]
- www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html
- 382 名前:login:Penguin [2007/06/30(土) 23:12:48 ID:k22DBsYL]
- >>381
> www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html
でも、まだまだSELinuxって使いにくいよねぇ。
- 383 名前:login:Penguin [2007/07/04(水) 12:50:00 ID:53ILzz44]
- TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
1000000ペリカ
- 384 名前:login:Penguin mailto:sage [2007/07/07(土) 13:43:54 ID:gAah8Via]
- 習合って……双方の開発主体を知ってて言ってる?
だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
ttp://esashi.mobi/~matthew/wordpress/archives/80
ここいら見てみなよ。
あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。
- 385 名前:login:Penguin mailto:sage [2007/11/08(木) 02:31:23 ID:2bvNqaeb]
- SELinuxを有効化した導入は進んでますか?
- 386 名前:login:Penguin [2007/11/16(金) 03:49:29 ID:Mx9qhpa0]
- ubuntuでselinux入れてみた
動かない MLで揉めてるふいんきだw
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ ウーム
ぐぐってるとバグだらけのオカン
- 387 名前:login:Penguin [2007/11/16(金) 08:08:20 ID:ub3hseD8]
- >>386
ディストロに拘りがないなら Fedora にしてみたら?
今のところ、俺のところでは特に問題なく動いてるよ。
- 388 名前:login:Penguin [2007/11/17(土) 21:10:08 ID:67XJ07B1]
- >>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよw
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな 茨の道はまだまだ続く
- 389 名前:login:Penguin mailto:sage [2007/12/28(金) 22:07:31 ID:XM+yOsqH]
- ・kernelに権限昇格の脆弱性がある
・WEBアプリ(PHPやCGI)に脆弱性があって、ローカルアタックかけられる状態
この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか?
- 390 名前:login:Penguin mailto:age [2008/01/02(水) 18:01:48 ID:uxhAJiRr]
- age
- 391 名前:login:Penguin [2008/01/13(日) 21:53:54 ID:8SqKnp92]
- help me
SELinuxを勉強したいんで頑張ってます。
MySQLは起動してるんですが(シェルから入れる)
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。
- 392 名前:login:Penguin [2008/01/13(日) 21:57:28 ID:8SqKnp92]
- あ!httpd_can_network_connect_db=1にしたら接続できました!
お騒がせして申し訳ない。
- 393 名前:login:Penguin [2009/03/01(日) 12:10:06 ID:qMTRjR4D]
- ぬるぽ
|
 |
