SE (security enhanced) Linux

[表示 : 全て最新50 1-99 101- 201- 301- 2chのread.cgiへ]
Update time : 05/23 19:34 / Filesize : 86 KB / Number-of Response : 394
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [04/06/12 05:18 ID:s7bBlWwQ]: SE Linux についてのスレです。
利点、問題点、導入に当たっての注意など。

www.selinux.jp/
www.selinux.gr.jp/
www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652
48 名前：login:Penguin mailto:sage [04/11/16 05:18:42 ID:JE4z9irv]: Windowsでいうところのパーソナルファイアウォール相当のこと
(netfilter/iptablesでやるパケットフィルタだけじゃなくて、アプリレベルでの
細かい通信制御)をSELinuxでできんかなと妄想してる。
もちろん機能には十分すぎるんだが、それを簡単に設定するための
フロントエンドをどう作るかが問題。
49 名前：login:Penguin mailto:sage [04/11/16 23:04:54 ID:r5Lrk2wd]: >>48
人気でそうだ。つーか俺も欲しい。
50 名前：login:Penguin [04/11/17 00:25:22 ID:DGIX6dqn]: >>48
デーモンの動いてるドメインとnode/portを対応させれば可能。
但し、ポリシーコンパイラがしょぼいので、書くのは大変…。

おまけにnode/port関連の性能ボトルネックがひどいんだよなぁ…。
51 名前：login:Penguin [04/11/19 16:40:48 ID:zSRgmM4L]: 初めて触ってみたが、結構概念が難しい。
SELinux を使いこなせるようになる道のりは遠い感じ。
で、こんなに難しいと普通のSEじゃ手が出ないので
余り普及しない(または使われない)悪寒。
52 名前：login:Penguin mailto:sage [04/11/20 03:01:29 ID:z6ctB+VG]: デフォルト有効なのかよ！
これから勉強がたいへんだ
53 名前：login:Penguin mailto:sage [04/11/20 06:57:05 ID:CbAZaw0K]: 概念自体はそれほど難しくないんじゃない？
設定がたまらなく面倒だけど。

FC3ってデフォルトenforceモードなの？
54 名前：login:Penguin [04/11/20 17:50:17 ID:7hmqMeo8]: これ、テスト用のマシンを用意して勉強しないといけないほど難しい？
55 名前：login:Penguin mailto:sage [04/11/20 17:55:40 ID:/C8/c61k]: FC3についてのちょっとした紹介
ttp://www.itmedia.co.jp/enterprise/articles/0411/15/news046.html
56 名前：login:Penguin [04/11/20 22:46:41 ID:SVVab55G]: >>54
デフォルト有効と言ってもTargetポリシーだし、
自分が挙動に詳しいアプリケーションから設定を追加していけば
いいんではないでしょうか？

本当はポリシーコンパイラの記述能力が低いのが悪いと思うんだけどね。
57 名前：login:Penguin mailto:sage [04/11/21 00:23:00 ID:EedBRFSc]: 最低限必要なサービスだけにしておかないと、定義が死ぬほど面倒くさい。

FC3がどんなかわからないけど、普通のサーバなら、
危険性があるやつだけ設定するって言うのは良いかもね。
58 名前：login:Penguin mailto:sage [04/11/24 21:51:12 ID:GD/xCPVc]: >>51
SEがつかえないSE Linux
語呂合わせにもならねぇ(w
59 名前：login:Penguin mailto:sage [04/11/24 23:52:21 ID:2XCOPo7B]: これ使えないと負け組みですか？NSAに勝ちたいです。
60 名前：login:Penguin mailto:sage [04/11/25 00:22:32 ID:sSYcT8WT]: >>59
使うと自動的にNSAに通報します。
61 名前：login:Penguin [04/11/25 20:18:12 ID:lUPgfwFJ]: Debian sidにselinux-policy-defaultをインストールしようとしています。
しかし以下のようなエラーメッセージが出ます。何かヒントのようなものでもありますか？
ちなみにカーネルはselinux=1でブートし、その他の必要なパッケージは
coker.com.auから落として全てインストールしてあります。

# dpkg -D=3333 --configure selinux-policy-default
Setting up selinux-policy-default (1.16-1) ...
/usr/bin/checkpolicy: loading policy configuration from policy.conf
domains/program/cups.te:220:ERROR 'unknown type rpm_var_lib_t' at token ';' on line 100328:
allow cupsd_config_t rpm_var_lib_t:file { getattr read };
#line 220
/usr/bin/checkpolicy: error(s) encountered while parsing configuration
make: *** [/etc/selinux/policy/policy.18] Error 1
run-parts: /etc/dpkg/postinst.d/selinux exited with return code 2
"/bin/run-parts --arg=selinux-policy-default /etc/dpkg/postinst.d" failed: 256
dpkg: error processing selinux-policy-default (--configure):
1Error running trigger postinst: No such file or directory
Errors were encountered while processing:
62 名前：login:Penguin mailto:sage [04/11/25 20:40:38 ID:lUPgfwFJ]: えっと、Debianなのにrpmなのが不味いのかと思って、
#grep -n rpm /etc/selinux/src/domains/program/cups.te
174:ifdef(`rpm.te', `
175:allow cupsd_config_t rpm_var_lib_t:dir { getattr search };
176:allow cupsd_config_t rpm_var_lib_t:file { getattr read };
213:allow cupsd_config_t rpm_var_lib_t:file { getattr read };

この213行目をコメントアウトしたら上手くいったようです。
# make -s -C /etc/selinux/src install
/usr/bin/checkpolicy: loading policy configuration from policy.conf
security: 4 users, 6 roles, 1431 types, 27 bools
security: 53 classes, 207684 rules
/usr/bin/checkpolicy: policy configuration loaded
/usr/bin/checkpolicy: writing binary representation (version 18) to /etc/selinux/policy/policy.18
Building file_contexts ...
Validating file_contexts ...
63 名前：login:Penguin mailto:sage [04/11/25 20:48:57 ID:lUPgfwFJ]: と思ったらエラーが出てた。

/usr/sbin/load_policy: Warning! Error while getting boolean names: Success
/usr/sbin/load_policy: security_load_policy failed
make: *** [tmp/load] Error 3

にも関わらずselinux-policy-default自体のセットアップは終わったっぽい。
よく分からんね。
64 名前：login:Penguin mailto:sage [04/11/25 20:51:03 ID:MPLFWDrj]: 対応してる鳥使えばいいのに。
65 名前：login:Penguin mailto:sage [04/11/25 22:12:04 ID:hS75tvZu]: 興味あるのでがんばって下さい
66 名前：login:Penguin [04/11/30 21:48:54 ID:DNV7bnzT]: >>41

情報　Thanx!
ナイトの会、行ってきたよ。
現状はまだまだ発展途上って感じだね。

ひとつ印象に残ったのは、ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり、商用ソフトだと
最悪、訴えられる可能性もあるらしいとの事。事実、過去そうゆう事例を憂慮した意見が内部であったらしい。
現状では、どこが最終的な責任をとるのだろうか？　JOSAO？

会場ではバイキング形式の軽食があった。案内に書いてないのはタダ飯食う香具師が来るのを避ける為
だろうか？　一言書いて欲しかったよ。

行く前に大盛りスパゲッティー食った俺はヽ(｀Д´)ノ
67 名前：login:Penguin mailto:sage [04/11/30 22:54:20 ID:Rci6pBJ3]: >ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
>無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり

strace使うことがなんでリバースエンジニアリングなの？
68 名前：login:Penguin mailto:sage [04/11/30 23:06:05 ID:rGSC9TyP]: straceかけなくても、ろぐにでるしね。
69 名前：login:Penguin mailto:sage [04/12/01 01:18:09 ID:kwnvX1mj]: strace 　リバースエンジニアリング　でググれ。
70 名前：login:Penguin mailto:sage [04/12/01 22:57:27 ID:buBI+dND]: >>66
ま、「食事」が目的じゃなかったしw
でもまぁ、あの時間帯設定だったら、みんなおなかすくだろうなとは思ってたけど。
ほぼ初心者でお話を聞かせて頂いていたのですが、ポリシー作るのってかなり難しいのね。
Hello World! であんなに手間掛かるとはw
使用しているライブラリの挙動すべてを把握しなければならないのは辛いね。
SELinuxの必要性はある（というか必須）、
でもそれを使うのは困難と。。。まだまだこれから、なのかなぁ。
71 名前：login:Penguin mailto:sage [04/12/01 23:00:52 ID:buBI+dND]: ちなみに、Windows をセキュアOSにする製品もあるような話があった気がするけど、
ライセンス料以外で考えた場合でも、
WindowsベースのセキュアOS と SELinux だったら、SELinux の方に軍配？
72 名前：login:Penguin [04/12/02 03:00:25 ID:aSrOsSrn]: >>71
オープンソースだからね。
究極的にWindowsは、M$の言う事を信じなければならない。
事象があくまでプログラムのバグだからな…。
73 名前：login:Penguin [04/12/03 00:48:59 ID:+ogIR13D]: >>72
オープンソースだから安全ってわけでもないよね。
逆にソースが分かっているんだから攻撃箇所も分かるわけだし。
しかも、脆弱性とか見つかった時の修正までの時間ってWinの方が早いらしいし。
アタックやハッキングがLinuxの方がWinよりも少ないわけでもないから、
手放しで SELinux の方がいいのかどうか疑問。
WinでもLinuxでもハッキングされた時の被害がセキュアOSにより最小限になるのであれば、
SELinuxの優位性は価格だけなのだろうか？？？
74 名前：login:Penguin [04/12/03 01:09:51 ID:B+NBrjFL]: モジラ組みもIISなんか使ってるからあんなことに・・・
75 名前：login:Penguin [04/12/05 03:25:16 ID:9/C1GsDJ]: 書き込み少ないね。セキュアOSスレとかだったらもっと集まるのかな？
76 名前：login:Penguin mailto:sage [04/12/05 12:56:34 ID:ftQG/iV+]: >>75
普通のサーバに使うのは面倒くさすぎるからね。
他のってLIDSとかに限らず、Trusted Solarisとか？
77 名前：login:Penguin mailto:sage [04/12/05 15:19:45 ID:Xmb8f5R0]: 使ってるアプリケーションの動作を大体のところ分っているのなら、
そんなに難しくも面倒でもないのでは？
78 名前：login:Penguin mailto:sage [04/12/06 17:54:39 ID:JtISNBh9]: セキュアＯＳカンファレンス乙
79 名前：login:Penguin [04/12/21 01:00:45 ID:d+cqoNK8]: allow gikonavi_t 2ch_file_t:file r_file_perms;
80 名前：login:Penguin [04/12/21 23:39:51 ID:VGSNXL53]: >>79
実行できないじゃん。
81 名前：login:Penguin mailto:sage [04/12/31 08:56:30 ID:1dLBL8OZ]: SE Linuxを有効にしてるとapacheにてWebDAVを利用する際にある小細工をしないと動かないのがつらい。
デフォでONだし、調べてみたら結構いい感じだからね～

他に、不具合が出るものがあったら教えてくれ。
ちなみに、うんこvsftpdは問題ない。
82 名前：login:Penguin mailto:sage [04/12/31 10:44:55 ID:UohtONFB]: >>81
vsftpdは平気なんですか。
認証とか平気ですか？shadowとかアクセスさせたくないんだけど。
83 名前：login:Penguin [05/01/14 03:40:02 ID:4A7mLCNI]: 普段リモートから管理するには、適当なユーザを作って
そのユーザにsysadm_rになれるようにして、
sysadm_rにしてからrootになれば良い?
84 名前：login:Penguin [05/01/15 03:20:11 ID:eumkuR6c]: >>83
適当なユーザでログインして、suでrootになって、newroleでsysadm_rになるのが正解
レガシーUNIXの特権ユーザだとか一般ユーザという考え方は、SELinuxの世界には存在
しないものと心得られよ。
85 名前：login:Penguin mailto:sage [05/01/19 12:52:53 ID:r7Yfu5sx]: selinux.jp死にっぱなし？
86 名前：login:Penguin mailto:sage [05/01/19 15:36:25 ID:o3yuXtEs]: >>85
復活しても俺が速攻で落としてるからな。
87 名前：login:Penguin mailto:sage [05/01/19 22:53:28 ID:j8qcBS41]: >>84
suがsetuidされてるから怒られるのね。
だからsysadm_rにしてからsuしてた。

rootじゃないと、普通のチェック(SELinuxの前)ではじかれるから、
rootになるのは必須なんだよね。

suを許可するのが筋なのかな。
88 名前：SELinux [05/01/26 19:39:41 ID:sf6NWb9/]: SELinuxでshadowのファイルの権限を有効にしようとして、make reloadコマンド
を打つと、エラーが出てしまいます。
どうしてですか？
89 名前：login:Penguin mailto:sage [05/01/26 20:25:41 ID:SzWDCttT]: FreeBSDからFedora Core3に乗り換えたけど
SELinux周りで死ぬほど苦しんでます。

詳しいページがあったら紹介してください。
90 名前：login:Penguin mailto:sage [05/01/26 23:00:06 ID:ZRGojEQb]: >>89
sudo echo 0 > /selinux/enforce
91 名前：login:Penguin [05/01/27 01:48:36 ID:Nw7Qmux/]: assert.teだね
92 名前：SELinux [05/01/27 13:03:42 ID:f6pf3IHI]: >>90
一般ユーザで行うんですか？
93 名前：89 mailto:sage [05/01/27 16:01:12 ID:zhnD52o8]: >>90
まぁ、それも一つの解ではあるのだけど(笑)

Perlで書かれたスクリプトを実行したら
実行されているようなんだけど（ファイル出力処理で、出力している）
print してる部分がコンソールに表示されない
./test.cgi > hoge
だと、hogeファイルにprintしてる部分が出てる
SELinuxを無効にしたら、コンソールに表示される

-rwxr-xr-x oresama oresama system_u:object_r:httpd_user_content_t test.cgi

うーむ・・・
94 名前：login:Penguin mailto:sage [05/01/28 09:17:29 ID:B7+DaWB6]: >>93
httpd_user_script_exec_t
95 名前：login:Penguin mailto:sage [05/01/28 09:28:55 ID:I4hBi6uy]: 日立ソフトがIPAから委託されて開発した
SELinux/AID使ってる人います？

Turboは認定トレーニングはじめるみたいだけどTurboLinux10の
製品解説みると売りにしてるから多分これが前提の講習だよね。
www.turbolinux.co.jp/news/2005/jan/tl0118.html
96 名前：login:Penguin [05/02/01 03:23:15 ID:R7wOcKfY]: >>66

> 行く前に大盛りスパゲッティー食った俺はヽ(｀Д´)ノ

いつでもハングリーでいきましょう
97 名前：login:Penguin [05/02/01 03:24:56 ID:R7wOcKfY]: 2.4.28/29にbackportしてSELinuxを運用している方おりますか？
98 名前：login:Penguin [05/02/02 01:40:56 ID:l83/Vdo8]: SELinux運用してる例が少なそう
99 名前：login:Penguin mailto:sage [05/02/02 03:29:08 ID:S9tP/kMN]: >1
間抜けなタイトルをつけたもんだな、間抜け。
このスレは、「selinux」で検索してもタイトルがひっかからない。
こんな間抜けなタイトルをつける底抜けにでも
FC3のはそれなりに使えてるみたいだ。
100 名前：login:Penguin mailto:sage [05/02/02 09:34:24 ID:xwsG9abH]: >>99
Linux板のアホウはスレタイ一つまともに付けられないんです。
今に始まったことではありません。
101 名前：login:Penguin [05/02/02 22:51:19 ID:PrTo3fxY]: これって、IPSとどう違うの？
102 名前：login:Penguin mailto:sage [05/02/02 23:14:00 ID:A0UaOl6X]: >>1読めば分かるだろ？
103 名前：login:Penguin [05/02/05 02:27:23 ID:+zvHTRUn]: 流行りそうな予感
104 名前：login:Penguin mailto:sage [05/02/05 05:45:06 ID:xJZHVJAK]: 流行るかね。
まともに設定出来れば、一技能として認められるかな。
105 名前：login:Penguin [05/02/05 10:38:50 ID:+zvHTRUn]: パッケージ選択数の多いディストリビューションは大変そう。
106 名前：login:Penguin mailto:sage [05/02/09 02:51:55 ID:XF0/Pgz5]: 検索しにくい。
107 名前：login:Penguin [05/02/09 23:22:38 ID:JqljQMs1]: TURBOもだすんだっけ？
108 名前：login:Penguin mailto:sage [05/02/11 00:49:53 ID:Eo16XC6i]: ターボはSELinuxができるのか
けっこう構築してノウハウたまったから採用したのかな
109 名前：login:Penguin [05/02/20 23:03:24 ID:+IFTBw6N]: ターボは親会社が大変だな。
ちーそ
110 名前：login:Penguin mailto:SAGE [05/02/21 22:04:22 ID:ArwecXmM]: このスレッド、書き込みが少なくてさみしいね。
SELinuxを使っている人はまだまだ限られているのかな？
デスクトップ用としてLinuxを使っている僕には無縁なものなのでしょうか？
111 名前：login:Penguin [05/02/21 22:11:12 ID:0hX35ns2]: SELinuxを芹菜と呼ぼう
112 名前：login:Penguin [05/02/23 05:33:48 ID:CBKPp7c2]: というか、こんなめんどくさいもの、流行らそうとしていること自体が悪

J●SA●のSELinux委員会の本人達がそう思っているんだから間違いない。
本家のNSA絡みの人たちもそう思っているんだから間違いない。

けど標準だ。やらなきゃ...orz
113 名前：login:Penguin mailto:sage [05/02/25 00:19:30 ID:f2uiMCq0]: SELinux委員会なるものがあるのか！
114 名前：login:Penguin [05/02/25 00:38:03 ID:8B+HEoS8]: Fedora coreを使っている人は結構簡単に使えちゃうような気が
するんだけど、実際どう？
じぶんFC２なんだけど、とりあえず有効にしてみた。
これから設定ツールをインストールして手探りでいろいろ試してみるつもり。
115 名前：login:Penguin mailto:sage [05/02/25 08:28:52 ID:hpEzNVNo]: >>113
とりあえずこっちでもいいんじゃないか
www.37linux.jp/
会長ブログもあるぞ
116 名前：login:Penguin mailto:sage [05/03/01 00:10:42 ID:2S1ezsEn]: >>115
これもターボがからんでいるとは
117 名前：login:Penguin mailto:sage [05/03/01 08:25:58 ID:nT2TU4zb]: 会長がおともだちのＰＣにリナックスを入れてくれるらしいぞ。
ﾊｧﾊｧ
118 名前：login:Penguin mailto:sage [05/03/02 05:03:55 ID:+4E0glIi]: 会長！ベットの中でSELinuxについて教えてください！
119 名前：login:Penguin [05/03/10 17:17:53 ID:yxaV5U7b]: fcファイルを編集のち以下のようにコマンドを実行したのですが反映されて
いないらしく、httpd.confのログファイルの出力先を変更した場合にhttpdを
起動する事が出来ません。file_contextsには反映されているようです。
更に何かする必要があるのだと思うのですがどうしたら良いのでしょうか？。

fcファイルに追加
/abc/public_html(/.*)? system_u:object_r:httpd_sys_content_t

make reload
load_policy policy.18
120 名前：login:Penguin mailto:sage [05/03/11 00:53:58 ID:RaDjPhri]: setfiles
121 名前：login:Penguin mailto:sage [05/03/11 03:55:33 ID:NJcMHUX0]: >>119
変更範囲がわかってるなら、setfilesが速いけど、
make relabel っていうのが出来るはず。
あと、ログになんか出るんじゃない？
122 名前：119 [05/03/11 10:22:41 ID:4gTW0GFK]: >>120,121
messagesに出力されているログですがこれの事でしょうか。
Mar 11 09:39:11 hoge kernel: audit(1110501551.417:0): avc: denied { search } for pid=3664 exe=/usr/sbin/httpd
name=server dev=hda2ino=7733249 scontext=root:system_r:httpd_t tcontext=system_u:object_r:file_t tclass=dir

make relabelでは全てのポリシーを書き換えているので時間がかかるという考え方で良いのでしょうか。
setfilesでは変更したポリシーだけを書き換える事が出来るの早いのですね。setfiles単独の使い方が良くわかって
いないので後々、勉強して行きたいと考えております。

make reload
make relabel
/usr/sbin/load_policy /etc/selinux/targeted/policy/policy.18

コマンドの順番を変えてみたりしているのですがそれでもhttpd.confのパスを変更するとhttpdを起動出来なくなり、
上記と同等なログがメッセージに出力されます。
また、/etc/selinux/targeted/contexts/files/file_contextsには変更箇所が出力されています。

何が原因なのでしょうか？
123 名前：login:Penguin mailto:sage [05/03/11 15:24:06 ID:k3CAiL8Z]: >>122
これも追加してみて
/abc system_u:object_r:httpd_sys_content_t
124 名前：122 mailto:sage [05/03/11 16:18:17 ID:4gTW0GFK]: >>123
/abc system_u:object_r:httpd_sys_content_tを追加する事で起動に成功しました。
他のファイルで通常の/から始まるディレクトリへのアクセスが許可されていて、
/からの新規ディレクトリを作成した場合には新たにルールを追加しなければ
ならないという事なのですね。

ありがとうございました。
125 名前：122 mailto:sage [05/03/11 17:12:41 ID:4gTW0GFK]: /abc
/htmlsystem_u:object_r:httpd_sys_content_t
/logsystem_u:object_r:httpd_log_t

という複数のサブディレクトリを用意した場合にはどうするべきなのでしょうか。

/abcsystem_u:object_r:httpd_sys_content_t
/abcsystem_u:object_r:httpd_log_t

では、make reload時にエラーとなります。

teファイルを覗いて見て、httpd_tを設定したら良さそうなので設定してみたら
make reloadは通ったのですがこういう設定に問題はないのでしょうか？
126 名前：login:Penguin mailto:sage [05/03/11 17:14:29 ID:k3CAiL8Z]: >>124
ちなみに、/abc を system_u:object_r:httpd_sys_content_t にできない場合は
fcじゃなくてteファイルに、こんなのを追加してみるのもいいかも
--
allow httpd_t home_root_t:dir search;
--
home_root_t は"ls -dZ /abc"などで確認して適宜書き換えてください。
間違っても root_t とかにはしないほうがいいと思うけどね。
127 名前：login:Penguin mailto:sage [05/03/11 17:18:32 ID:k3CAiL8Z]: >>125
/abc の後ろにスペース入れてる？
128 名前：122 mailto:sage [05/03/11 17:50:44 ID:4gTW0GFK]: >>　k3CAiL8Zさん
httpd_tはダメでした。relabelで弾かれてしまいました。
teファイルを変更しない場合には、read writeが許可されている
httpd_sys_content_tを使用するのが良いみたいでした。

teファイルの方は未だ変更の仕方が良くわかりませんが、
allow httpd_abcd home_root_t:dir search;
とする事で httpd_abcd をディレクトリに割り振り出来るという
事なのではないかと見ています。書き込んだ後に変更を加えて
確かめてみたいと想います。

/abcの後に空白はあります。同じディレクトリに複数の設定を
行うのは無理のようでした。
129 名前：login:Penguin mailto:sage [05/03/11 18:13:28 ID:k3CAiL8Z]: >>128
勘違いしてるみたいだけど、やりたいことはfcに３行入れれば多分できるでしょう。
*.fc
--
/abc system_u:object_r:httpd_sys_content_t
/abc/html(/.*)? system_u:object_r:httpd_sys_content_t
/abc/log system_u:object_r:httpd_log_t
--

>>126 は
/abc をApache以外にも使うならteいじる必要あるかもしれないけど
という意味なので無視しといてください。
130 名前：128 mailto:sage [05/03/11 18:54:14 ID:4gTW0GFK]: >>129
あ、大丈夫です^^。fcの方には129と同じようにしてあります。

teの方はhttpd_tにはroot権限？とディレクトリの検索を許可します。
という意味に見えます。実際にはhome_root_tにも設定があり、
継承しているという事になるのでしょうか。根本的な所まで
追いかけないと見えてこないものが沢山ありそうです。
131 名前：login:Penguin mailto:sage [05/03/11 19:35:00 ID:k3CAiL8Z]: >>130
Apacheでしか使わないならteいじんなくていいよ。
それ以外でも使うなら、"ls -aZ /abc"の結果でも教えて。
132 名前：login:Penguin mailto:sage [05/03/13 04:29:00 ID:Smjmhscy]: SELinuxに詳しい人多いんだね。
オレも勉強しなくては
133 名前：login:Penguin [05/03/18 22:12:04 ID:cnaFhVSF]: SELinuxで使用出来ない文字、または誤動作の要因となる文字などはあるのでしょうか？。
httpdにおいて同一ディレクトリ同一所有権パーミッションでありながら表示できる画像と
表示できない画像が存在します。SELinuxを無効にすると正しく表示されるのでSELinux
が関係しているのは間違いないと想われます。

表示できないケースでは以下のようになります。
You don't have permission to access　path on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
134 名前：login:Penguin mailto:sage [05/03/18 22:19:21 ID:MrN6Qq1S]: >>133
表示できるファイルと、そうでないファイルの"ls -Z"の結果は？
アクセスできなかったときに"/var/log/messages"になんて出る？
最低限これくらい書いてくれないと答えようもない
135 名前：133 mailto:sage [05/03/18 22:28:49 ID:cnaFhVSF]: >>134
申し訳ありません；。
$ ls -Z　ではディレクトリ内の全てのファイルが httpd_sys_content_t となっております。
アクセス出来なかったファイルの内、１つのファイルをha_b_012.jpg > ha.jpgに変更する
事でアクセスが可能となりました。そこで他のファイルでも_と数字を除きアクセスして
みましたが、こちらの方はアクセス出来ませんでした。

$ cat /var/log/messages
kernel: audit(1111151779.769:0): avc: denied { getattr } for pid=10813 exe=/usr/sbin/httpd
path=path dev=hda2 ino=7422115 scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file
136 名前：133 mailto:sage [05/03/18 23:03:37 ID:cnaFhVSF]: RHELのクローンですから当然、RHELにも同様の問題があると想われます。
つまり、SELinuxって予想以上に使われてないのですね。
SELinuxが返って穴にならなければ良いのですが；。
137 名前：login:Penguin mailto:sage [05/03/18 23:12:36 ID:SQmxFIAD]: 穴が開いてるのはおまえの脳味噌だろ。
運用出来るだけの知恵が無いんだからSELinuxはdisableにして正解だったな。
138 名前：133 [05/03/18 23:53:35 ID:cnaFhVSF]: >>137
好き勝手言って貰っても構いませんが何処が問題なのか指摘してください
.fcはphp(/.*)としてあり、問題となっているディレクトリはphp/abc/def/にあります

期待上げ！
139 名前：133 mailto:sage [05/03/18 23:59:59 ID:cnaFhVSF]: >>137
２行しか書けないFedraユーザーみたいだね
無理言ってすまない
140 名前：login:Penguin mailto:sage [05/03/19 00:33:57 ID:AdJo+AG7]: アンチFedoraは例外無く池沼ばかりだなw
141 名前：133 mailto:sage [05/03/19 00:53:30 ID:4vL6hAaV]: >>140
うちにFedraもあるよ
ディストリを差別する気はありませんが特定の個人なら差別しても許せるかもね^^
142 名前：login:Penguin mailto:sage [05/03/19 01:28:02 ID:ilrOwGMs]: 言われたものだけじゃなくて可能性ありそうな設定全部書いてみれば？
143 名前：login:Penguin mailto:sage [05/03/19 06:41:31 ID:JM3a88Pg]: audit2allow
144 名前：133 mailto:sage [05/03/19 09:26:07 ID:4vL6hAaV]: いろいろと試行錯誤し考えてみた結果、原因となる幾つかの要因が見えました。
httpdポリシーにおける設定変更自体には全く問題ありませんでしたが結果と
してアクセス出来るファイルとそうでないファイルが存在したのは間違い
ありません。対処方法もいくつか考えられますが実際にどれくらいのファイルが
影響を受けるのか現状のまま確かめて見たいと考えております。

ただ、総合的にSELinuxの役割として予想外の動作をしていたのは間違いありません。
145 名前：login:Penguin mailto:sage [05/03/19 12:40:19 ID:QodH++gB]: >>135
単純に
tcontext=user_u:object_r:user_home_t tclass=file
だからじゃないの？
146 名前：login:Penguin mailto:sage [05/03/19 23:26:26 ID:YRe93jvD]: home_tを読ませるように設定するか、
ファイルをきちんとラベル付けしなけりゃ問題があるのは
当たり前やろ。
DACで言うところの600root:rootのファイルが通常ユーザーでは
読めませんとかいう質問のようなもんだろ。
147 名前：133 mailto:sage [05/03/20 09:46:54 ID:1Ea4E4Vw]: 以下のように同じディレクトリにあるファイルで差が出るのはおかしくはないのですか？。
home_tだからというなら理由なら、ほぼ同じ条件にある他のファイルが読めるというのは
納得が行きません。www以下にあるファイルは全てhttpd_sys_content_tが適応されている
はずであり、読めないのであれば全て読めないのが本来あるべき動作のはずです。
home_tだから読めないという事であるならば、Ｚで表示されている内容と実際の内容が
異なるという事だと想われますが如何でしょうか？。

www(/.*)?

ls -aZ
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha_b_012.jpg
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha.jpg

ls
ha_b_012.jpg　←　読めない
ha.jpg　←　読める
148 名前：login:Penguin mailto:sage [05/03/20 11:34:48 ID:TBDKXLZq]: だからおかしいのはオマエの脳。脳に障害があるのにサーバ構築なんかムリだって。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef