SE (security enhanced) Linux

[表示 : 全て最新50 1-99 101- 201- 301- 2chのread.cgiへ]
Update time : 05/23 19:34 / Filesize : 86 KB / Number-of Response : 394
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [04/06/12 05:18 ID:s7bBlWwQ]: SE Linux についてのスレです。
利点、問題点、導入に当たっての注意など。

www.selinux.jp/
www.selinux.gr.jp/
www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652
75 名前：login:Penguin [04/12/05 03:25:16 ID:9/C1GsDJ]: 書き込み少ないね。セキュアOSスレとかだったらもっと集まるのかな？
76 名前：login:Penguin mailto:sage [04/12/05 12:56:34 ID:ftQG/iV+]: >>75
普通のサーバに使うのは面倒くさすぎるからね。
他のってLIDSとかに限らず、Trusted Solarisとか？
77 名前：login:Penguin mailto:sage [04/12/05 15:19:45 ID:Xmb8f5R0]: 使ってるアプリケーションの動作を大体のところ分っているのなら、
そんなに難しくも面倒でもないのでは？
78 名前：login:Penguin mailto:sage [04/12/06 17:54:39 ID:JtISNBh9]: セキュアＯＳカンファレンス乙
79 名前：login:Penguin [04/12/21 01:00:45 ID:d+cqoNK8]: allow gikonavi_t 2ch_file_t:file r_file_perms;
80 名前：login:Penguin [04/12/21 23:39:51 ID:VGSNXL53]: >>79
実行できないじゃん。
81 名前：login:Penguin mailto:sage [04/12/31 08:56:30 ID:1dLBL8OZ]: SE Linuxを有効にしてるとapacheにてWebDAVを利用する際にある小細工をしないと動かないのがつらい。
デフォでONだし、調べてみたら結構いい感じだからね～

他に、不具合が出るものがあったら教えてくれ。
ちなみに、うんこvsftpdは問題ない。
82 名前：login:Penguin mailto:sage [04/12/31 10:44:55 ID:UohtONFB]: >>81
vsftpdは平気なんですか。
認証とか平気ですか？shadowとかアクセスさせたくないんだけど。
83 名前：login:Penguin [05/01/14 03:40:02 ID:4A7mLCNI]: 普段リモートから管理するには、適当なユーザを作って
そのユーザにsysadm_rになれるようにして、
sysadm_rにしてからrootになれば良い?
84 名前：login:Penguin [05/01/15 03:20:11 ID:eumkuR6c]: >>83
適当なユーザでログインして、suでrootになって、newroleでsysadm_rになるのが正解
レガシーUNIXの特権ユーザだとか一般ユーザという考え方は、SELinuxの世界には存在
しないものと心得られよ。
85 名前：login:Penguin mailto:sage [05/01/19 12:52:53 ID:r7Yfu5sx]: selinux.jp死にっぱなし？
86 名前：login:Penguin mailto:sage [05/01/19 15:36:25 ID:o3yuXtEs]: >>85
復活しても俺が速攻で落としてるからな。
87 名前：login:Penguin mailto:sage [05/01/19 22:53:28 ID:j8qcBS41]: >>84
suがsetuidされてるから怒られるのね。
だからsysadm_rにしてからsuしてた。

rootじゃないと、普通のチェック(SELinuxの前)ではじかれるから、
rootになるのは必須なんだよね。

suを許可するのが筋なのかな。
88 名前：SELinux [05/01/26 19:39:41 ID:sf6NWb9/]: SELinuxでshadowのファイルの権限を有効にしようとして、make reloadコマンド
を打つと、エラーが出てしまいます。
どうしてですか？
89 名前：login:Penguin mailto:sage [05/01/26 20:25:41 ID:SzWDCttT]: FreeBSDからFedora Core3に乗り換えたけど
SELinux周りで死ぬほど苦しんでます。

詳しいページがあったら紹介してください。
90 名前：login:Penguin mailto:sage [05/01/26 23:00:06 ID:ZRGojEQb]: >>89
sudo echo 0 > /selinux/enforce
91 名前：login:Penguin [05/01/27 01:48:36 ID:Nw7Qmux/]: assert.teだね
92 名前：SELinux [05/01/27 13:03:42 ID:f6pf3IHI]: >>90
一般ユーザで行うんですか？
93 名前：89 mailto:sage [05/01/27 16:01:12 ID:zhnD52o8]: >>90
まぁ、それも一つの解ではあるのだけど(笑)

Perlで書かれたスクリプトを実行したら
実行されているようなんだけど（ファイル出力処理で、出力している）
print してる部分がコンソールに表示されない
./test.cgi > hoge
だと、hogeファイルにprintしてる部分が出てる
SELinuxを無効にしたら、コンソールに表示される

-rwxr-xr-x oresama oresama system_u:object_r:httpd_user_content_t test.cgi

うーむ・・・
94 名前：login:Penguin mailto:sage [05/01/28 09:17:29 ID:B7+DaWB6]: >>93
httpd_user_script_exec_t
95 名前：login:Penguin mailto:sage [05/01/28 09:28:55 ID:I4hBi6uy]: 日立ソフトがIPAから委託されて開発した
SELinux/AID使ってる人います？

Turboは認定トレーニングはじめるみたいだけどTurboLinux10の
製品解説みると売りにしてるから多分これが前提の講習だよね。
www.turbolinux.co.jp/news/2005/jan/tl0118.html
96 名前：login:Penguin [05/02/01 03:23:15 ID:R7wOcKfY]: >>66

> 行く前に大盛りスパゲッティー食った俺はヽ(｀Д´)ノ

いつでもハングリーでいきましょう
97 名前：login:Penguin [05/02/01 03:24:56 ID:R7wOcKfY]: 2.4.28/29にbackportしてSELinuxを運用している方おりますか？
98 名前：login:Penguin [05/02/02 01:40:56 ID:l83/Vdo8]: SELinux運用してる例が少なそう
99 名前：login:Penguin mailto:sage [05/02/02 03:29:08 ID:S9tP/kMN]: >1
間抜けなタイトルをつけたもんだな、間抜け。
このスレは、「selinux」で検索してもタイトルがひっかからない。
こんな間抜けなタイトルをつける底抜けにでも
FC3のはそれなりに使えてるみたいだ。
100 名前：login:Penguin mailto:sage [05/02/02 09:34:24 ID:xwsG9abH]: >>99
Linux板のアホウはスレタイ一つまともに付けられないんです。
今に始まったことではありません。
101 名前：login:Penguin [05/02/02 22:51:19 ID:PrTo3fxY]: これって、IPSとどう違うの？
102 名前：login:Penguin mailto:sage [05/02/02 23:14:00 ID:A0UaOl6X]: >>1読めば分かるだろ？
103 名前：login:Penguin [05/02/05 02:27:23 ID:+zvHTRUn]: 流行りそうな予感
104 名前：login:Penguin mailto:sage [05/02/05 05:45:06 ID:xJZHVJAK]: 流行るかね。
まともに設定出来れば、一技能として認められるかな。
105 名前：login:Penguin [05/02/05 10:38:50 ID:+zvHTRUn]: パッケージ選択数の多いディストリビューションは大変そう。
106 名前：login:Penguin mailto:sage [05/02/09 02:51:55 ID:XF0/Pgz5]: 検索しにくい。
107 名前：login:Penguin [05/02/09 23:22:38 ID:JqljQMs1]: TURBOもだすんだっけ？
108 名前：login:Penguin mailto:sage [05/02/11 00:49:53 ID:Eo16XC6i]: ターボはSELinuxができるのか
けっこう構築してノウハウたまったから採用したのかな
109 名前：login:Penguin [05/02/20 23:03:24 ID:+IFTBw6N]: ターボは親会社が大変だな。
ちーそ
110 名前：login:Penguin mailto:SAGE [05/02/21 22:04:22 ID:ArwecXmM]: このスレッド、書き込みが少なくてさみしいね。
SELinuxを使っている人はまだまだ限られているのかな？
デスクトップ用としてLinuxを使っている僕には無縁なものなのでしょうか？
111 名前：login:Penguin [05/02/21 22:11:12 ID:0hX35ns2]: SELinuxを芹菜と呼ぼう
112 名前：login:Penguin [05/02/23 05:33:48 ID:CBKPp7c2]: というか、こんなめんどくさいもの、流行らそうとしていること自体が悪

J●SA●のSELinux委員会の本人達がそう思っているんだから間違いない。
本家のNSA絡みの人たちもそう思っているんだから間違いない。

けど標準だ。やらなきゃ...orz
113 名前：login:Penguin mailto:sage [05/02/25 00:19:30 ID:f2uiMCq0]: SELinux委員会なるものがあるのか！
114 名前：login:Penguin [05/02/25 00:38:03 ID:8B+HEoS8]: Fedora coreを使っている人は結構簡単に使えちゃうような気が
するんだけど、実際どう？
じぶんFC２なんだけど、とりあえず有効にしてみた。
これから設定ツールをインストールして手探りでいろいろ試してみるつもり。
115 名前：login:Penguin mailto:sage [05/02/25 08:28:52 ID:hpEzNVNo]: >>113
とりあえずこっちでもいいんじゃないか
www.37linux.jp/
会長ブログもあるぞ
116 名前：login:Penguin mailto:sage [05/03/01 00:10:42 ID:2S1ezsEn]: >>115
これもターボがからんでいるとは
117 名前：login:Penguin mailto:sage [05/03/01 08:25:58 ID:nT2TU4zb]: 会長がおともだちのＰＣにリナックスを入れてくれるらしいぞ。
ﾊｧﾊｧ
118 名前：login:Penguin mailto:sage [05/03/02 05:03:55 ID:+4E0glIi]: 会長！ベットの中でSELinuxについて教えてください！
119 名前：login:Penguin [05/03/10 17:17:53 ID:yxaV5U7b]: fcファイルを編集のち以下のようにコマンドを実行したのですが反映されて
いないらしく、httpd.confのログファイルの出力先を変更した場合にhttpdを
起動する事が出来ません。file_contextsには反映されているようです。
更に何かする必要があるのだと思うのですがどうしたら良いのでしょうか？。

fcファイルに追加
/abc/public_html(/.*)? system_u:object_r:httpd_sys_content_t

make reload
load_policy policy.18
120 名前：login:Penguin mailto:sage [05/03/11 00:53:58 ID:RaDjPhri]: setfiles
121 名前：login:Penguin mailto:sage [05/03/11 03:55:33 ID:NJcMHUX0]: >>119
変更範囲がわかってるなら、setfilesが速いけど、
make relabel っていうのが出来るはず。
あと、ログになんか出るんじゃない？
122 名前：119 [05/03/11 10:22:41 ID:4gTW0GFK]: >>120,121
messagesに出力されているログですがこれの事でしょうか。
Mar 11 09:39:11 hoge kernel: audit(1110501551.417:0): avc: denied { search } for pid=3664 exe=/usr/sbin/httpd
name=server dev=hda2ino=7733249 scontext=root:system_r:httpd_t tcontext=system_u:object_r:file_t tclass=dir

make relabelでは全てのポリシーを書き換えているので時間がかかるという考え方で良いのでしょうか。
setfilesでは変更したポリシーだけを書き換える事が出来るの早いのですね。setfiles単独の使い方が良くわかって
いないので後々、勉強して行きたいと考えております。

make reload
make relabel
/usr/sbin/load_policy /etc/selinux/targeted/policy/policy.18

コマンドの順番を変えてみたりしているのですがそれでもhttpd.confのパスを変更するとhttpdを起動出来なくなり、
上記と同等なログがメッセージに出力されます。
また、/etc/selinux/targeted/contexts/files/file_contextsには変更箇所が出力されています。

何が原因なのでしょうか？
123 名前：login:Penguin mailto:sage [05/03/11 15:24:06 ID:k3CAiL8Z]: >>122
これも追加してみて
/abc system_u:object_r:httpd_sys_content_t
124 名前：122 mailto:sage [05/03/11 16:18:17 ID:4gTW0GFK]: >>123
/abc system_u:object_r:httpd_sys_content_tを追加する事で起動に成功しました。
他のファイルで通常の/から始まるディレクトリへのアクセスが許可されていて、
/からの新規ディレクトリを作成した場合には新たにルールを追加しなければ
ならないという事なのですね。

ありがとうございました。
125 名前：122 mailto:sage [05/03/11 17:12:41 ID:4gTW0GFK]: /abc
/htmlsystem_u:object_r:httpd_sys_content_t
/logsystem_u:object_r:httpd_log_t

という複数のサブディレクトリを用意した場合にはどうするべきなのでしょうか。

/abcsystem_u:object_r:httpd_sys_content_t
/abcsystem_u:object_r:httpd_log_t

では、make reload時にエラーとなります。

teファイルを覗いて見て、httpd_tを設定したら良さそうなので設定してみたら
make reloadは通ったのですがこういう設定に問題はないのでしょうか？
126 名前：login:Penguin mailto:sage [05/03/11 17:14:29 ID:k3CAiL8Z]: >>124
ちなみに、/abc を system_u:object_r:httpd_sys_content_t にできない場合は
fcじゃなくてteファイルに、こんなのを追加してみるのもいいかも
--
allow httpd_t home_root_t:dir search;
--
home_root_t は"ls -dZ /abc"などで確認して適宜書き換えてください。
間違っても root_t とかにはしないほうがいいと思うけどね。
127 名前：login:Penguin mailto:sage [05/03/11 17:18:32 ID:k3CAiL8Z]: >>125
/abc の後ろにスペース入れてる？
128 名前：122 mailto:sage [05/03/11 17:50:44 ID:4gTW0GFK]: >>　k3CAiL8Zさん
httpd_tはダメでした。relabelで弾かれてしまいました。
teファイルを変更しない場合には、read writeが許可されている
httpd_sys_content_tを使用するのが良いみたいでした。

teファイルの方は未だ変更の仕方が良くわかりませんが、
allow httpd_abcd home_root_t:dir search;
とする事で httpd_abcd をディレクトリに割り振り出来るという
事なのではないかと見ています。書き込んだ後に変更を加えて
確かめてみたいと想います。

/abcの後に空白はあります。同じディレクトリに複数の設定を
行うのは無理のようでした。
129 名前：login:Penguin mailto:sage [05/03/11 18:13:28 ID:k3CAiL8Z]: >>128
勘違いしてるみたいだけど、やりたいことはfcに３行入れれば多分できるでしょう。
*.fc
--
/abc system_u:object_r:httpd_sys_content_t
/abc/html(/.*)? system_u:object_r:httpd_sys_content_t
/abc/log system_u:object_r:httpd_log_t
--

>>126 は
/abc をApache以外にも使うならteいじる必要あるかもしれないけど
という意味なので無視しといてください。
130 名前：128 mailto:sage [05/03/11 18:54:14 ID:4gTW0GFK]: >>129
あ、大丈夫です^^。fcの方には129と同じようにしてあります。

teの方はhttpd_tにはroot権限？とディレクトリの検索を許可します。
という意味に見えます。実際にはhome_root_tにも設定があり、
継承しているという事になるのでしょうか。根本的な所まで
追いかけないと見えてこないものが沢山ありそうです。
131 名前：login:Penguin mailto:sage [05/03/11 19:35:00 ID:k3CAiL8Z]: >>130
Apacheでしか使わないならteいじんなくていいよ。
それ以外でも使うなら、"ls -aZ /abc"の結果でも教えて。
132 名前：login:Penguin mailto:sage [05/03/13 04:29:00 ID:Smjmhscy]: SELinuxに詳しい人多いんだね。
オレも勉強しなくては
133 名前：login:Penguin [05/03/18 22:12:04 ID:cnaFhVSF]: SELinuxで使用出来ない文字、または誤動作の要因となる文字などはあるのでしょうか？。
httpdにおいて同一ディレクトリ同一所有権パーミッションでありながら表示できる画像と
表示できない画像が存在します。SELinuxを無効にすると正しく表示されるのでSELinux
が関係しているのは間違いないと想われます。

表示できないケースでは以下のようになります。
You don't have permission to access　path on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
134 名前：login:Penguin mailto:sage [05/03/18 22:19:21 ID:MrN6Qq1S]: >>133
表示できるファイルと、そうでないファイルの"ls -Z"の結果は？
アクセスできなかったときに"/var/log/messages"になんて出る？
最低限これくらい書いてくれないと答えようもない
135 名前：133 mailto:sage [05/03/18 22:28:49 ID:cnaFhVSF]: >>134
申し訳ありません；。
$ ls -Z　ではディレクトリ内の全てのファイルが httpd_sys_content_t となっております。
アクセス出来なかったファイルの内、１つのファイルをha_b_012.jpg > ha.jpgに変更する
事でアクセスが可能となりました。そこで他のファイルでも_と数字を除きアクセスして
みましたが、こちらの方はアクセス出来ませんでした。

$ cat /var/log/messages
kernel: audit(1111151779.769:0): avc: denied { getattr } for pid=10813 exe=/usr/sbin/httpd
path=path dev=hda2 ino=7422115 scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file
136 名前：133 mailto:sage [05/03/18 23:03:37 ID:cnaFhVSF]: RHELのクローンですから当然、RHELにも同様の問題があると想われます。
つまり、SELinuxって予想以上に使われてないのですね。
SELinuxが返って穴にならなければ良いのですが；。
137 名前：login:Penguin mailto:sage [05/03/18 23:12:36 ID:SQmxFIAD]: 穴が開いてるのはおまえの脳味噌だろ。
運用出来るだけの知恵が無いんだからSELinuxはdisableにして正解だったな。
138 名前：133 [05/03/18 23:53:35 ID:cnaFhVSF]: >>137
好き勝手言って貰っても構いませんが何処が問題なのか指摘してください
.fcはphp(/.*)としてあり、問題となっているディレクトリはphp/abc/def/にあります

期待上げ！
139 名前：133 mailto:sage [05/03/18 23:59:59 ID:cnaFhVSF]: >>137
２行しか書けないFedraユーザーみたいだね
無理言ってすまない
140 名前：login:Penguin mailto:sage [05/03/19 00:33:57 ID:AdJo+AG7]: アンチFedoraは例外無く池沼ばかりだなw
141 名前：133 mailto:sage [05/03/19 00:53:30 ID:4vL6hAaV]: >>140
うちにFedraもあるよ
ディストリを差別する気はありませんが特定の個人なら差別しても許せるかもね^^
142 名前：login:Penguin mailto:sage [05/03/19 01:28:02 ID:ilrOwGMs]: 言われたものだけじゃなくて可能性ありそうな設定全部書いてみれば？
143 名前：login:Penguin mailto:sage [05/03/19 06:41:31 ID:JM3a88Pg]: audit2allow
144 名前：133 mailto:sage [05/03/19 09:26:07 ID:4vL6hAaV]: いろいろと試行錯誤し考えてみた結果、原因となる幾つかの要因が見えました。
httpdポリシーにおける設定変更自体には全く問題ありませんでしたが結果と
してアクセス出来るファイルとそうでないファイルが存在したのは間違い
ありません。対処方法もいくつか考えられますが実際にどれくらいのファイルが
影響を受けるのか現状のまま確かめて見たいと考えております。

ただ、総合的にSELinuxの役割として予想外の動作をしていたのは間違いありません。
145 名前：login:Penguin mailto:sage [05/03/19 12:40:19 ID:QodH++gB]: >>135
単純に
tcontext=user_u:object_r:user_home_t tclass=file
だからじゃないの？
146 名前：login:Penguin mailto:sage [05/03/19 23:26:26 ID:YRe93jvD]: home_tを読ませるように設定するか、
ファイルをきちんとラベル付けしなけりゃ問題があるのは
当たり前やろ。
DACで言うところの600root:rootのファイルが通常ユーザーでは
読めませんとかいう質問のようなもんだろ。
147 名前：133 mailto:sage [05/03/20 09:46:54 ID:1Ea4E4Vw]: 以下のように同じディレクトリにあるファイルで差が出るのはおかしくはないのですか？。
home_tだからというなら理由なら、ほぼ同じ条件にある他のファイルが読めるというのは
納得が行きません。www以下にあるファイルは全てhttpd_sys_content_tが適応されている
はずであり、読めないのであれば全て読めないのが本来あるべき動作のはずです。
home_tだから読めないという事であるならば、Ｚで表示されている内容と実際の内容が
異なるという事だと想われますが如何でしょうか？。

www(/.*)?

ls -aZ
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha_b_012.jpg
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha.jpg

ls
ha_b_012.jpg　←　読めない
ha.jpg　←　読める
148 名前：login:Penguin mailto:sage [05/03/20 11:34:48 ID:TBDKXLZq]: だからおかしいのはオマエの脳。脳に障害があるのにサーバ構築なんかムリだって。
149 名前：login:Penguin mailto:sage [05/03/20 13:42:54 ID:1Ea4E4Vw]: >>148
初期設定Fedra君、自分のスレにお帰りなされ^^。
150 名前：login:Penguin mailto:sage [05/03/20 13:58:48 ID:TBDKXLZq]: 脳に障害がある奴は常にアンチFedoraであるという法則w
151 名前：login:Penguin mailto:sage [05/03/20 14:11:10 ID:TBDKXLZq]: >>149
いいかい、君はアスペルガー症候群だ。
既に何度かそう診断された事があるだろ？
障害を持つ身で努力しようとする態度は立派だけどはっきり言って迷惑だから帰ってくれ。
警察とか消防隊員とか、障害者には出来ない仕事があるんだよ。技術者もその１つ。
社会に貢献したければ君に出来る仕事は他にいくらでもあるはずだ。
自分の身の丈に見合う事をやりなさい。
152 名前：login:Penguin [05/03/20 16:18:35 ID:1Ea4E4Vw]: >>151
>FC4T1のgijで動いてるTomcat、abでちょっとベンチ取ろうとしただけで落ちる。
FC4の実験、お疲れさま^^
それから「アンチFedora」というフレーズを少しは変えようよ
せっかくIDが変わっているのだし、もう少し効果的な発言をしようね
次の面白い発言に期待していますよん

期待あげ！
153 名前：login:Penguin mailto:sage [05/03/20 20:53:34 ID:ki45pfhI]: home_tのアトリビュートが取れないっていっているんだから、
/var/log/messagesの見てるところが違うんじゃないの。
まずパーミッシブにしてすべて動かしてみて、
引っかかる権限に対するルールを全て書き加えていけばいいじゃん。
（tail　-fしながら問題のある所をpermissiveでどういう
ログがでるか観察。）
SELinuxそのもののバグならバグの報告する。
154 名前：133 mailto:sage [05/03/20 21:21:46 ID:1Ea4E4Vw]: >>153
お返事ありがとうございます。
アクセスしているパスが異なる、また勘違いなどは第一に疑いましたが、full_pathの部分は
確かに表示されないファイルのフルパスになっております。また、messagesファイルを
監視しても同様の結果としかなりませんでした。
ただアクセスさせる為なら闇雲にルールの追加を行えば良いのですが、それではSELinuxの
稼働意味が損なわれてしまいます。
また何度か検証した結果、この事例が発生する行程が判明致しましたが何分、TBDKXLZqさん
がおっしゃるように私は脳を病んでいる事もあり、またＰＣ歴も20年と浅いので妄想として
心に閉まっておく事に致します。

ご協力してくださった皆様、ご迷惑をおかけしました。

kernel: audit(1111188853.244:0): avc: denied { getattr } for pid=2555 exe=/usr/sbin/httpd path=full_path dev=hda2
ino=7422115 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file
155 名前：login:Penguin mailto:sage [05/03/20 21:39:44 ID:ki45pfhI]: SELinuxユーザー会のメーリングリストに投げてみたら？
ログにあった権限を追加していくのは、本当にログの
情報があってるかどうか確認する為で、その穴だらけの
状態で運用しろという意味じゃない。
156 名前：login:Penguin mailto:sage [05/03/20 21:42:32 ID:ki45pfhI]: 基本的には
検証＞確認＞システム、もしくはポリシーの編集＞検証に戻る
てな感じにやっていくしかないんじゃないの？
ドキュメントも少ないし、成熟もしていないわけだから、全て最初から
完成させる事ができるとは思わない方が良いのかなと
個人的には思います。
157 名前：login:Penguin [05/03/21 01:19:41 ID:Pg6EgOd7]: なに、バグなの？
158 名前：login:Penguin [05/03/21 01:22:18 ID:ONFyNY6p]: >>1
矢口真里写真集「OFF」
159 名前：login:Penguin mailto:sage [2005/03/21(月) 13:03:52 ID:RRoZFv1H]: >>157
脳のバグ。
160 名前：login:Penguin [2005/03/21(月) 13:51:20 ID:jBLCHfdu]: 矢口ってちっちゃいけどかわいいよね。
モー娘。の中では一番、しっかりしていて頭が良いと思うよ。
ちゃんと勉強すればSELinuxぐらいマスターするんじゃないかな。
161 名前：login:Penguin mailto:sage [2005/03/21(月) 21:45:36 ID:RORt2abZ]: １つハッキリしたのはMLを読んでいる奴が１人も居ないと事実だけだな
162 名前：login:Penguin mailto:sage [2005/03/21(月) 22:41:00 ID:RRoZFv1H]: fedora-selinuxなら読んでるがw
163 名前：login:Penguin [2005/03/30(水) 23:31:08 ID:5Uz6Ix3e]: クライアントには使えるの？
164 名前：login:Penguin mailto:sage [皇紀2665/04/01(金) 07:25:06 ID:r2NxX0YQ]: Zend Optimizer(PHPのコード最適化エクステンション)が組み込まれないので悩んじまった。
httpdのエラーログには読み込みのパーミッションエラーで出てたのに、
インストールの設定に間違いない事しか確認してなかった。

勉強不足。徹底ガイド買ってきて勉強しよ
165 名前：login:Penguin mailto:sage [2005/04/02(土) 15:38:39 ID:IIOd+esG]: 安定ディス鳥でカーネル2.6採用してる所ってまだ少ないんですね
166 名前：login:Penguin mailto:sage [2005/04/02(土) 20:21:03 ID:iY/0s9iF]: ポリシーのバージョンが19になる、カーネルはどれですか?
2.6.11でも18なんだけど、まだカーネルツリーには入ってないのかな。
167 名前：login:Penguin mailto:sage [2005/04/04(月) 22:17:28 ID:SuTxAeX/]: セキュアOSとアクセス制御の勉強がしたいのですが、
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用基本的な仕組みから高度な運用管理方法までを徹底解説」
「SELinuxシステム管理―セキュアOSの基礎と運用」
という本が2冊あるのですが、どちらのほうが詳しく書いてあるのですか？
どなたかご存知の方いらっしゃいますか？
168 名前：login:Penguin mailto:sage [2005/04/05(火) 00:08:05 ID:eXjYXAjT]: >>167
徹底管理は日本で昔からセキュアOSに取り組んで来た人が書いた本なのでこちらを薦める。
もう一方は翻訳本。こちらのほうが新しく、内容も詳しくてリファレンス的。
でも最初に読む本としてはちょっと難しいかもしれない。
169 名前：login:Penguin mailto:sage [2005/04/05(火) 00:08:46 ID:eXjYXAjT]: 「徹底管理」じゃなくて「徹底ガイド」ね。
170 名前：login:Penguin mailto:sage [2005/04/05(火) 00:32:58 ID:6qYQ729W]: いまどきFedoraCore1ベースの内容は古すぎないか？
171 名前：login:Penguin mailto:sage [2005/04/05(火) 09:10:42 ID:ujfSY/uD]: >>168,169
詳細サンクスですm(__)m
早速注文して、勉強しようかと思います。

>>170
fedora 1ベースでも、SE Linux自体の設定は変わらないと思いますのでそこら辺は問題ないかと。
出版された時期が時期だから仕方ないでは？
172 名前：login:Penguin mailto:sage [2005/04/07(木) 00:43:36 ID:/slzzvEj]: 2冊しかないんだし、両方買っちゃえばいいじゃん
173 名前：167 mailto:sage [2005/04/10(日) 11:33:25 ID:rXUX0agL]: 「SELinux徹底ガイド―セキュアOSによるシステム構築と運用基本的な仕組みから高度な運用管理方法までを徹底解説」
を購入しまして、ただ今勉強中なのです。

part1のセキュアOSの概要の中で、実際にwu-ftpdでの侵入をやっています。
自分のマシンにwu-ftpdを入れてローカルにて侵入してみたいのですが、ソースコードが見当たりません（侵入プログラムだからそう簡単に配布できないのは分かっています）
そこで、本の中でプログラムにつけられてた名前（ftpexploit）で検索をかけたら、それっぽいソースコードが引っかかりました。
www.hackemate.com.ar/ezines/raza_mexicana/raza011/c0digo/unix-ftpexploit.c

だけど、これ（コメント文が）英語ではないっぽいので使い方が分かりません。
どなたかご存知の方がいらっしゃったら教えてほしいのですが。
決して悪いことには使いませんので、宜しく御願いしますm(__)m。
174 名前：login:Penguin mailto:sage [2005/04/10(日) 12:13:16 ID:P0rRpkGQ]: >>173
引数が1つしかなくて、あんなに短いソースなのに？
175 名前：login:Penguin mailto:sage [2005/04/10(日) 12:19:17 ID:JCyLqN7t]: 邪な心があるから読めないんだよw
176 名前：167、173 mailto:sage [2005/04/10(日) 12:50:56 ID:rXUX0agL]: >>174
言われてみれば、そこまで長いソースでないので頑張って読んでみます。
だけど、知らない関数が…

ちなみに、ソースコードの.arからアラビア語だと思って、翻訳かけたらすごいことに…
コメント文に何が書いてあるかちと知りたい。
177 名前：login:Penguin mailto:sage [2005/04/10(日) 13:18:31 ID:P0rRpkGQ]: >>176
そのまま自動翻訳掛けてる時点でMake
Exploit C0D3D by [Hellraiser]を自分で訳してみな。
178 名前：login:Penguin mailto:sage [2005/04/10(日) 13:31:10 ID:2od0vbE4]: アラビアって名前の国はないんでどうかひとつ

アラブ首長国連邦なら .ae
サウジアラビアなら .sa

世界のドメイン情報
www.benri.com/domain/
179 名前：login:Penguin mailto:sage [2005/04/10(日) 14:53:54 ID:rXUX0agL]: >>177
>Exploit C0D3D by [Hellraiser]を自分で訳してみな。
自分で訳したら、「Hellraiser（ヘルレイザー）によってC0D3Dを開発する」
って感じになるのですが....。

>>178
間違ってたみたいですね。
arだからアラビア圏のどっかだと思ってました。
.arは、アルゼンチンですね（言語はスペイン語）
ありがとうございますm(__)m
180 名前：login:Penguin mailto:sage [2005/04/10(日) 15:25:30 ID:XO5Kjlei]: C0D3D ってのは coded って読むのだよ。
181 名前：167、173、179 mailto:sage [2005/04/10(日) 15:38:35 ID:rXUX0agL]: >>180
そうだったのですか。ありがとうございます。

ということは、「Hellraiser（ヘルレイザー）によって功績は暗号化された」ってことになります。
>そのまま自動翻訳掛けてる時点でMake
の意味が分かりました＠＠
182 名前：login:Penguin mailto:sage [2005/04/18(月) 18:09:48 ID:GyZFJyyz]: googleで調べりゃくさるほどコード出てくるけどな
もっとよく探してから聞けよ

なんか話がそれてるな
183 名前：login:Penguin mailto:sage [2005/05/02(月) 00:02:16 ID:nQQXjlrv]: Oracleのポリシーできた？
ってか、日本オラクルは作ってくれないの？
184 名前：login:Penguin mailto:sage [2005/05/12(木) 22:47:07 ID:JM0i3cbl]: ttp://www.nsa.gov/selinux/

HTTP/1.1 200 OK
Connection: close
Date: Thu, 12 May 2005 13:37:45 GMT
Server: Microsoft-IIS/6.0

どこまでほんと？
185 名前：login:Penguin [2005/05/28(土) 19:24:31 ID:SZbGwWIV]: ﾊｧ?
186 名前：login:Penguin mailto:sage [2005/05/30(月) 00:13:44 ID:KWwFz+yC]: >>184
ヘッダ情報だけだからいくらでも偽装できる
187 名前：login:Penguin mailto:sage [2005/05/30(月) 08:40:40 ID:iZPaZpQK]: >>184
Windows Serverっていうのは本当っぽいよ。
OSとWeb Serverを表示させるHPでやってみたら、

OS:Windows Server 2003
Web Server:Microsoft-IIS/6.0

って出てきたから。
188 名前：login:Penguin mailto:sage [2005/05/30(月) 08:57:51 ID:i64dRy21]: 流石NSAだ
俺らはWindowsだろうと堅固に出来るぜということか
189 名前：login:Penguin mailto:sage [2005/06/21(火) 23:35:20 ID:k46Hhdg9]: age
190 名前：login:Penguin [2005/07/14(木) 05:17:41 ID:TFsXQ32L]: 　
191 名前：login:Penguin mailto:sage [2005/07/22(金) 03:52:12 ID:WIaeG04T]: ＮＳＡによる壮大な釣り・・・・だと思う
192 名前：login:Penguin [2005/07/22(金) 09:58:25 ID:ymZGW3HP]: Windowsの方がLinuxより堅牢にするのは簡単そうだ
Windows：穴がすぐ出来るがすぐ塞がる
Linux：穴がなかなか出来ないがなかなか埋まらない
だからな
193 名前：login:Penguin mailto:sage [2005/07/23(土) 01:23:00 ID:OG8etS/6]: >>192
もうすでに発表から何ヶ月も過ぎている穴がいくつもポコポコあいてますが・・・
MSは穴を塞ぐ気がないようですが・・・
簡単ですか・・・そうですか・・・
194 名前：login:Penguin mailto:sage [2005/08/03(水) 12:52:41 ID:oR/NUpKB]: >>192
お前はアホか？
Windows : 穴がすぐ見つかる上にMSにその気がなければ、平然と何ヶ月も放置。全てはMSの気分次第。
Linux : Windows同様、穴が見つかる事も多々あるが、オープンソースコミュニティにより、誰かがその穴を塞ぎすぐにパッチがでる。
195 名前：login:Penguin [2005/08/03(水) 13:11:10 ID:kkYvCA+6]: >>194
＞誰かがその穴を塞ぎ
ここが弱い。近年どんどん弱まってる。保証も無い。

MSの場合、気分次第とは言ってられないから必ず穴は塞がれる。
196 名前：login:Penguin [2005/08/03(水) 20:24:58 ID:E0to4R2W]: headlines.yahoo.co.jp/hl?a=20050802-00000004-cnet-sci

だとよｗ
197 名前：login:Penguin mailto:sage [2005/08/04(木) 17:05:15 ID:YSDGc6SO]: >>195
MS狂信者が何故ここに？
www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=Windows+%E6%9C%AA%E4%BF%AE%E6%AD%A3+%E8%84%86%E5%BC%B1%E6%80%A7&num=50
198 名前：login:Penguin mailto:sage [2005/08/14(日) 21:14:51 ID:q9taHhbq]: make　clean
199 名前：login:Penguin mailto:sage [2005/08/17(水) 14:17:36 ID:jxiwnKnn]: -bash: make　clean: command not found
200 名前：login:Penguin mailto:sage [2005/08/20(土) 08:12:24 ID:t4rnP1is]: コマンドまたはファイル名が違います
201 名前：login:Penguin mailto:sage [2005/09/07(水) 01:47:37 ID:elRriIGS]: newrole -r 2ch_r
202 名前：login:Penguin mailto:sage [2005/09/07(水) 14:08:57 ID:0G7ZHT98]: RHEL4 で初めて SELinux であたふたしたんですが
FC4 使ってる人達はあたふたしないもんなんでしょうか。
このスレは非常に平穏に過ぎてるなあ。
203 名前：login:Penguin mailto:sage [2005/09/07(水) 15:28:50 ID:t3rUMEED]: >>202
速攻でSEは殺すから大丈夫ですよ
204 名前：login:Penguin mailto:sage [2005/09/07(水) 16:58:45 ID:KYtN4k3E]: SELinux Policy Editor　使うと楽なの？
205 名前：login:Penguin mailto:sage [2005/09/07(水) 17:10:20 ID:CRe7RktX]: いいえ
206 名前：login:Penguin mailto:sage [2005/09/07(水) 18:41:35 ID:0G7ZHT98]: (使えない)SEは(誰かが)頃すから
(使えるSEだけになるので)
大丈夫ですよ。
207 名前：login:Penguin mailto:sage [2005/09/08(木) 00:26:59 ID:nZgiZuQI]: fedora core 1にSE Linuxを組み込んでいろいろしてたのを考えると、
fedora core 3、4のほうがめちゃ楽。
208 名前：login:Penguin mailto:sage [2005/09/08(木) 10:52:58 ID:kfF39xdr]: RHEL4 で、SELinuxを簡単に設定する方法ないですかね？
209 名前：login:Penguin mailto:sage [2005/09/08(木) 18:48:36 ID:y+gQmP+M]: SE Linux の設定と言うけれど

1. setenforce 0 で殺した
2. コンテキストを与えまくった
3. bool を変えまくった
4. 俺専用ポリシーを作成した

どの辺りまで実践してるんだろう。
210 名前：login:Penguin mailto:sage [2005/09/08(木) 19:55:10 ID:u+Mb3QrM]: >>209
４　が簡単な方法。。。があれば。orz...
LIDS 　の方が簡単そうで良いけどね。
211 名前：名無しさん＠そうだ選挙に行こう mailto:sage [2005/09/11(日) 20:38:39 ID:yYfCHbsY]: セキュリティはいつの時代も難しいね。
SELinuxもそのうち慣れそうと思ったけど
212 名前：login:Penguin mailto:sage [2005/09/12(月) 15:05:48 ID:fUDuQO6Y]: >>209

0.Fedoraインスコ時、チェックボックスをクリック(デフォ？) orz
213 名前：login:Penguin mailto:sage [2005/09/12(月) 15:52:33 ID:i50Yk/Pv]: >>211
でも、全然なれない。複雑すぎ。orz

>>212
その画面で警告にするんだよね？
214 名前：login:Penguin mailto:sage [2005/09/13(火) 09:25:39 ID:VSGAA3Pf]: 複雑って言うか面倒だよなあ。。

xinetd から立ち上げるサービスが有ったとして
個々のサービスについて複雑にアクセス制御できるんだろうか？
とりあえずオライリーのSELinux本買ってきたけど
読み終わるまでしばらくかかりそうな薬缶。
215 名前：login:Penguin mailto:sage [2005/09/13(火) 11:06:05 ID:yr4ZJwvi]: >>214
その手のは出来るよ。

厳格に運用するマシンじゃないとただ面倒なだけだね。
216 名前：login:Penguin mailto:sage [2005/09/13(火) 17:36:43 ID:/MCEH955]: domain_auto_trans(inetd_t,***_exec_t,***_t)
で分けられそうじゃん
217 名前：login:Penguin mailto:sage [2005/09/27(火) 00:35:06 ID:W9xcpqf7]: ターボってSELinux入っているのね。
セキュアOSもホリエモンか
218 名前：login:Penguin mailto:sage [2005/10/11(火) 23:20:11 ID:r8plUfZk]: 勉強会あるみたいだよ
219 名前：login:Penguin mailto:sage [2005/11/25(金) 02:58:44 ID:kxWbPbG4]: セキュアOS盛り上がらないね
なぜ？
220 名前：login:Penguin mailto:sage [2005/11/25(金) 06:00:43 ID:dkeSDxLD]: www.atmarkit.co.jp/fsecurity/rensai/selinux01/selinux01.html
221 名前：login:Penguin [2005/12/15(木) 22:15:40 ID:Qqr6E85d]: SELinuxシンポジウムに行く香具師はいないのか？
222 名前：login:Penguin mailto:sage [2005/12/25(日) 13:04:17 ID:ZucL9yrx]: SELinuxも何かあるのか。。

米国家安全保障局（ＮＳＡ）の国内盗聴問題で、米紙ニューヨーク・
タイムズ（電子版）は２３日、盗聴などの情報収集は、複数の通信会社
の協力を得て通信網の根幹部分に直接アクセスして行われ、得られた
情報量はホワイトハウスが確認しているよりもはるかに大量である可能性
がある、と報じた。

同紙によると、ＮＳＡがアクセスしていたのは、米国の通信回線と国外
の通信回線をつなぐ「スイッチ」と呼ばれる交換機に当たる部分。当局者らは
「大規模データ採掘作戦」と呼び、電話や電子メールの発信地や送り先、
日時や通話時間などのパターンを分析。２００１年の米中枢同時テロ以降は、
特にアフガニスタン絡みの通信に注意していたという。

主要通信会社の元技術担当責任者によると、複数の通信会社が通信
データを保存、テロリストの捜索を支援するため、連邦政府にデータを
提供。ＮＳＡで以前勤務していた専門家によると、当局はこの技術を利用
するため、通信会社に対し、米国を経由する国際通信量を増やすよう
働き掛けていたという。

www.sankei.co.jp/news/051224/kok067.htm
223 名前：login:Penguin mailto:sage [2005/12/25(日) 18:31:59 ID:aP6RzIW/]: 俺がソース読んだ限りでは変な記述は見当たらなかったが、
それほど自分のスキルに自信があるわけでもないので言い切れない(笑)
224 名前：login:Penguin mailto:sage [2006/02/15(水) 00:40:42 ID:CtdekGRh]: ここでいいのかわからんけれど

/home/oreore/public_html に user_u:object_r:httpd_sys_content_t
にしているわけで

これだと、FTPやSambaからアクセスできないです
ちょっとした CGI を作ろうと思ってここまできましたが

どうすればいいでしょう？
225 名前：login:Penguin [2006/02/28(火) 02:11:12 ID:EuS24R+g]: allow ftpd_t httpd_sys_content_t:file r_file_perms;
allow samba_t httpd_sys_content_t:file r_file_perms;
226 名前：login:Penguin mailto:sage [2006/03/14(火) 23:05:02 ID:AZmBKFnA]: >>225
ありがとう
うまくいきました
227 名前：login:Penguin [2006/03/14(火) 23:39:58 ID:/Js5s5In]: >>225
それだと、ファイル生成やサブディレクトリへのアクセスができない。
allow {ftpd_t samba_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t samba_t} httpd_sys_content_t:dir create_dir_perms;

の方がより適切
228 名前：login:Penguin mailto:sage [2006/03/20(月) 23:27:52 ID:VQ85yjvJ]: 最小権限をどこまで最小権限にするのかの見極めが難しいな
229 名前：login:Penguin mailto:sage [2006/03/22(水) 00:51:02 ID:UqoYLMbZ]: 確かに
アクセスできたことで、安心してしまっていた

>227
samba_t まわりでエラーが出ます
まぁ、FTP使えればいいんですけどね
230 名前：login:Penguin mailto:sage [2006/03/23(木) 11:30:16 ID:62GALYzX]: allow {ftpd_t smbd_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t smbd_t} httpd_sys_content_t:dir create_dir_perms;

を apache.te に入れたらうまくいきました
ありがとうございます
231 名前：227 [2006/03/26(日) 20:28:58 ID:27E7HmkK]: >>230
すまん、samba_tじゃなかった。

あと、CGIを動かす場合には httpd_sys_script_exec_t 付けるのを忘れないようにねん。
232 名前：login:Penguin mailto:sage [2006/03/29(水) 03:00:12 ID:HQBRg2uP]: たいして勉強もしないでSELinux難しいって言うやつ多いよ
233 名前：login:Penguin mailto:sage [2006/03/29(水) 08:03:39 ID:CvH+CUAc]: 難しいんじゃなくて面倒くさい。
234 名前：login:Penguin mailto:sage [2006/03/29(水) 08:03:40 ID:9P02Nfg2]: 面倒くさい→難しい
ってことなんじゃね？
235 名前：login:Penguin mailto:sage [2006/03/29(水) 08:05:07 ID:9P02Nfg2]: 1秒差かよｗ
236 名前：login:Penguin mailto:sage [2006/03/29(水) 11:44:57 ID:UP8y3H8S]: >>232
勉強しなきゃいけないから、難しい
って理屈は通りませんか？
237 名前：login:Penguin mailto:sage [2006/03/29(水) 11:49:59 ID:QcX2cin5]: 難しいから勉強するんじゃね?
238 名前：login:Penguin mailto:sage [2006/03/29(水) 21:35:47 ID:HQBRg2uP]: iptablesとかsnortもSELinuxを同じくらい面倒ではないか
239 名前：login:Penguin mailto:sage [2006/03/30(木) 01:35:10 ID:KGSVIhop]: 日本語で(ｒｙ
240 名前：login:Penguin mailto:sage [2006/03/30(木) 03:13:52 ID:UbuRNvya]: めずらしくレスあるな。
SELinuxとTOMOYOLinuxできればどこでも転職できます
ぐらいの売り込みすればみんなOFFにしないんじゃん
実際まだ扱える人材は少ないけど、注目度は高いんだし
241 名前：login:Penguin mailto:sage [2006/03/30(木) 23:42:31 ID:vYvTHlZE]: とりあえず今からVine用にポリシーを書いて安定動作させられるだけの人材なら転職が楽だと思う
242 名前：login:Penguin mailto:sage [2006/03/31(金) 03:54:04 ID:c2Q2PtAv]: 今はSELinuxを扱える人材を募集している会社がまだそんなになさそう。
そのうちLinuxを扱うエンジニアには必須項目になってくると思うけどね。
243 名前：login:Penguin mailto:sage [2006/03/31(金) 12:19:46 ID:E8eNEfyd]: 本気か？
こんなめんどくさいもん入れるやつは出てこないよ。
244 名前：login:Penguin mailto:sage [2006/03/31(金) 13:29:50 ID:cBe4lNwk]: 面倒だからこそメシの種になるんじゃないのか
245 名前：login:Penguin mailto:sage [2006/03/31(金) 15:37:39 ID:UiGwZxlZ]: ここにもいるであろう”SELinuxを扱える人”って、MLSやらDTEやらRBACやらのセキュリティポリシーモデルもちゃんとお勉強したの？？
246 名前：login:Penguin mailto:sage [2006/03/31(金) 19:33:26 ID:E8eNEfyd]: >>244
客は理解できないから発注しない。
247 名前：login:Penguin mailto:sage [2006/03/31(金) 23:36:30 ID:AEimUosf]: つうか、SELinuxのポリシーを業務で *本当に* 扱えるってことは、システムの要件全体や
全プロセスの挙動、業務フローまで全部理解してるはずじゃない？
それだけのスキルがあればSELinux抜きでもメシを食えると思う
Hello Worldレベルの設定で喜んでるなら別だけど
248 名前：login:Penguin mailto:sage [2006/03/32(土) 01:43:32 ID:JDoyVCsD]: targetedならできそうじゃね？
249 名前：login:Penguin mailto:sage [2006/04/04(火) 23:03:35 ID:dbz5rSMH]: FedoraCore5のSELinux触った？
新しくなっててよくわからなくなってるし
250 名前：login:Penguin [2006/04/04(火) 23:39:02 ID:Nxd02Sjx]: FedoraCore5のMCSにはバグがあるから気をつけろ。
251 名前：login:Penguin mailto:ge [2006/04/05(水) 00:33:30 ID:RyEzmfa8]: アメリカの軍事機関産なんてもんは
ウィルス流し込むのと変わらん
252 名前：login:Penguin mailto:sage [2006/04/05(水) 00:33:48 ID:18+Z0sd8]: MCSにバグあるのか。そもそもMCSをよく理解してないけど。。
253 名前：250 [2006/04/05(水) 00:36:27 ID:v5+HM8wU]: プロセスのカテゴリ間遷移に何の制約もかかってないので、結局どんなカテゴリを設定したところで

% runcon -l SystemLow-SystemHigh /bin/bash
一発でアクセス可能になってしまうという…。
254 名前：login:Penguin mailto:sage [2006/04/05(水) 08:12:00 ID:kamtW6c3]: >>251
そうだな。
255 名前：login:Penguin [2006/04/05(水) 12:34:02 ID:fw77qyCk]: ネットの技術なんてアメリカの軍事から産まれたの多くないか？
日本だと防衛庁がつくれば日本人エンジニアも納得って感じか？
256 名前：login:Penguin mailto:sage [2006/04/06(木) 07:25:54 ID:oviNSQ1N]: それなんて富士通？
257 名前：login:Penguin [2006/04/06(木) 11:28:37 ID:YEiCHFN4]: それってWindowsUpdateはウイルス流し込むのと変わらない
と言っているのと同じ気がするけど
258 名前：login:Penguin mailto:sage [2006/04/07(金) 01:08:46 ID:6DBpvXFo]: SystemLow-SystemHigh ってなんだ？
また新しい機能はいったん？
259 名前：250 [2006/04/07(金) 15:32:43 ID:niRmaLXj]: >>258
それがMCSクオリティ

デフォルトの設定で、全てのカテゴリを包含する(全てのカテゴリに権限を有する)カテゴリに対して付けられたエイリアス
要するに、カテゴリ0～カテゴリ255まで全部ってことだな。

/etc/selinux/targeted/setrans.conf 見れ

#
# Multi-Category Security translation table for SELinux
#
# Uncomment the following to disable translation libary
# disable=1
#
# Objects can be categorized with 0-256 categories defined by the admin.
# Objects can be in more than one category at a time.
# Categories are stored in the system as c0-c255. Users can use this
# table to translate the categories into a more meaningful output.
# Examples:
# s0:c0=CompanyConfidential
# s0:c1=PatientRecord
# s0:c2=Unclassified
# s0:c3=TopSecret
# s0:c1,c3=CompanyConfidentialRedHat
s0=
s0-s0:c0.c255=SystemLow-SystemHigh
s0:c0.c255=SystemHigh
260 名前：login:Penguin mailto:sage [2006/04/08(土) 19:50:52 ID:iy4/n+cL]: Fedora Core 5 にして、現在後悔中
どうやってポリシーいじればいいんだ・・・
261 名前：login:Penguin mailto:sage [2006/04/08(土) 21:02:53 ID:st9vL7l7]: FC4→FC5は別物だな
262 名前：250 [2006/04/10(月) 00:01:01 ID:C/cakVDw]: seibun.nosv.org/?p=SELinux

SELinuxの71%は罠で出来ています
SELinuxの13%は情報で出来ています
SELinuxの8%は気の迷いで出来ています
SELinuxの8%は理論で出来ています

なんか笑えた。結構合ってるような気が…。
263 名前：login:Penguin mailto:sage [2006/04/10(月) 11:34:49 ID:yj7wkDKQ]: >>262
ﾜﾛﾀ

やっぱりfedoraは危険だなぁｗ
264 名前：login:Penguin mailto:sage [2006/04/11(火) 20:16:14 ID:SajR50yj]: >>262
exe版と結果が違うんだが。
265 名前：login:Penguin mailto:sage [2006/04/11(火) 21:32:30 ID:BhjOi48X]: ってかMLSとか、MCSって必要なの？
いままでの仕組みで十分じゃね？
266 名前：sage [2006/04/11(火) 21:40:45 ID:GCPU4MAU]: MCSはすっごく使いやすいで。

ポリシー全く編集せずに特権分割まがいのことができる。
267 名前：login:Penguin mailto:sage [2006/04/11(火) 21:52:15 ID:BhjOi48X]: カテゴリーごとに分割するだけでいいってことかな。
勉強してみよう。
268 名前：login:Penguin mailto:sage [2006/04/16(日) 12:51:52 ID:3ADQtYrD]: SELinuxを有効にして運用しているサイトってどれぐらいあるの？
269 名前：login:Penguin mailto:sage [2006/04/16(日) 21:38:44 ID:Nq8scThW]: # ls -Z
が出来なくなりました

[root@xxxx ~]# ls -Z
Sorry, this option can only be used on a SELinux kernel.

こんなメッセージが出ます。
どこを直したら良いでしょうか？教えてください。
270 名前：269 mailto:sage [2006/04/16(日) 21:52:19 ID:Nq8scThW]: 自己解決しました。
SELinux Policy Editor　を導入したためでした。

お騒がせしてすいませんでした。
271 名前：login:Penguin mailto:sage [2006/04/18(火) 21:31:04 ID:H2PkL+Ho]: ラッセルって誰ですか？
272 名前：sage [2006/04/18(火) 21:39:30 ID:6edQt34n]: >>271
赤帽の人です
273 名前：login:Penguin mailto:sage [2006/04/18(火) 22:06:21 ID:H2PkL+Ho]: なるほど。赤帽の人ですか。
日本で勉強会するために来日とかですか
274 名前：login:Penguin mailto:sage [2006/05/01(月) 03:48:11 ID:GQZu5Odn]: ラッセルは何しにきたの？
275 名前：login:Penguin [2006/05/03(水) 16:22:37 ID:FbhDLGnH]: ここの過去ログかなり参考になったのであげときます

許可されていない操作です　で拒否られないようにっと＞＜
276 名前：login:Penguin [2006/05/12(金) 01:33:15 ID:VCbRI40x]: 政府が日本版SELinuxを税金でつくるらしいね。ホントかよ
TOMOYOでいいような気もするけど
277 名前：login:Penguin mailto:sage [2006/05/12(金) 16:50:02 ID:okAGl8Ef]: >>276
さすがにwinnyで情報流出のTVいっぱい流してたし、そういう流れでしょ
278 名前：login:Penguin mailto:sage [2006/05/13(土) 00:50:37 ID:LU0QM1Pb]: ブッシュ大統領、NSAによる米国内の通話データ収集を擁護
ttp://japan.cnet.com/news/media/story/0,2000056023,20111027,00.htm

こういう印象がNSAにはあるから、SELinuxを政府では使いたくなくて、
日本版をつくるってこと？
279 名前：login:Penguin mailto:sage [2006/05/13(土) 14:21:03 ID:Wq9uQuZR]: >>276
>>278の話もあるけど、
そんなことするなら、SELinuxの検証した方がいい気がする。

TOMOYOでもいいけど、RBACはこれからも予定はないんだろうか。
280 名前：login:Penguin mailto:sage [2006/05/13(土) 15:50:09 ID:LU0QM1Pb]: OSSなのに何か仕込まれているのかなあ？
バレたときいいわけできないじゃん
まあおエライ人の考えることだしねえ
281 名前：login:Penguin mailto:sage [2006/05/16(火) 10:55:12 ID:pcXHQYws]: >>278-280
文句言う前に、とりあえず喪前らソースでも読めよと。
282 名前：login:Penguin mailto:sage [2006/05/17(水) 22:36:52 ID:1oMw1vmW]: 政府の役人はNSAってだけで怖いんだな
283 名前：login:Penguin mailto:sage [2006/05/23(火) 22:05:47 ID:LUJq97y9]: 国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表

　開発を進める「次世代OS環境」は、WindowsやLinuxなどをゲストOSとして稼動
させることのできるVM（Virtual Machine）環境をイメージし、このVM環境に
セキュリティ機能を組み合わせた「セキュアVM」と呼ぶ環境の構築を目指す。

internet.watch.impress.co.jp/cda/news/2006/05/23/12063.html

これのこと？
284 名前：login:Penguin mailto:sage [2006/05/25(木) 02:18:55 ID:Vs8NYI9S]: ゲストOSにSELinuxつかうの？
285 名前：login:Penguin mailto:sage [2006/05/26(金) 14:23:37 ID:3bfbfETV]: enterprise.watch.impress.co.jp/cda/security/2006/05/26/7902.html

どこらへんが対応なんだかわからん。
286 名前：login:Penguin mailto:sage [2006/05/27(土) 01:54:56 ID:HE5H6UoF]: ServerProtect用のポリシーがついてくるとかｗ
287 名前：login:Penguin mailto:sage [2006/06/01(木) 23:43:14 ID:oI4VC7+d]: こんなもんに金かける前に
I18N を主導して欲しかったよ。
288 名前：login:Penguin mailto:sage [2006/06/02(金) 02:11:35 ID:uuFyJyYw]: LinuxWorld行った？
289 名前：login:Penguin mailto:sage [2006/06/02(金) 22:42:11 ID:hcD+Nubh]: LinuxConrefence行った？
290 名前：login:Penguin mailto:sage [2006/06/04(日) 20:52:17 ID:b5BKM+1t]: LinuxWorld行けなかった。。。
SELinuxネタは多かったの？
291 名前：login:Penguin mailto:sage [2006/06/05(月) 23:15:37 ID:v5HTa0C4]: >290
もう右を向いても左を向いてもSELinuxって感じだったよ。
292 名前：login:Penguin mailto:sage [2006/06/06(火) 15:30:58 ID:Y8NRdPWo]: ホントかよ！
なのに導入事例はいっさい聞いたことがない。。。
293 名前：login:Penguin mailto:sage [2006/06/07(水) 04:55:55 ID:4ZlW1/UC]: 前や後ろを向いたら違うものが見えてそうだ。
294 名前：login:Penguin mailto:sage [2006/06/08(木) 20:55:09 ID:RikEnc/R]: LIDSとAppArmorが見える
295 名前：login:Penguin mailto:sage [2006/06/13(火) 13:53:08 ID:bfyV1Zm2]: SELinux　　　　　　　　Sex
AppArmor　　　　　　　Armor

コンドーム！！
296 名前：login:Penguin mailto:sage [2006/06/13(火) 22:43:07 ID:HL9I0jGj]: SEXは
「Security-Enhanced X」
のことだよね
297 名前：login:Penguin [2006/06/28(水) 21:06:46 ID:LVP+o8HQ]: 2006年度UNIX/Linuxセキュリティ実践講座開催のご案内
www2.tamacc.chuo-u.ac.jp/kikoh/sec_ikusei/2006unix/unix2006.html
298 名前：login:Penguin mailto:sage [2006/07/02(日) 21:27:58 ID:S6c6I++3]: いまさらだが、なにこのスレタイ

"SELinux"で検索することぐらい普通考えられるだろ
299 名前：login:Penguin mailto:sage [2006/07/03(月) 00:55:52 ID:hS22+TsM]: >>33
300 名前：login:Penguin [2006/07/08(土) 11:39:20 ID:eo7Tt5Hp]: ＞＞２９８

Security Enhanced Linuxはアメリカでは、略してセックスと呼ばれることが多いので、
セックスもスレタイに入れたほうがよい。

Sexurity Enhanced linuX = SEX
301 名前：login:Penguin [2006/07/08(土) 21:12:37 ID:dC5O/xFW]: >>300
は？SE-XはSecurity Enhanced X (X Window System)のことだ。
SELinuxについて100万回勉強してから釣れ。
302 名前：login:Penguin mailto:sage [2006/07/09(日) 16:44:46 ID:rI2bNedh]: なんか設定ツールができたらしいね

100万回勉強したら高待遇で転職できるかも
303 名前：login:Penguin mailto:sage [2006/07/11(火) 13:01:25 ID:1lcYrZ+i]: あと99万と8600回くらいだなぁ・・・
304 名前：login:Penguin mailto:sage [2006/07/12(水) 08:09:47 ID:X5kF2WB6]: なにをもって一回と数えるの？
305 名前：login:Penguin mailto:sage [2006/07/13(木) 01:02:36 ID:Qfpp8B6o]: checkpolicyを実行してポリシーをビルドした回数でいいんじゃね？
306 名前：login:Penguin mailto:sage [2006/07/13(木) 05:30:16 ID:TZueCr6q]: 一日100回はビルドするから…1万日か。無理だｗ
307 名前：login:Penguin mailto:sage [2006/07/13(木) 20:57:38 ID:Qfpp8B6o]: >>306
長生きしないとな。
308 名前：login:Penguin mailto:sage [2006/07/13(木) 21:33:21 ID://G/Y/i2]: 並列処理しよう
309 名前：login:Penguin mailto:sage [2006/07/14(金) 00:28:11 ID:jt/F/kIF]: お仕事で鯖立てている人で、ポリシー設定を1からやらなきゃいけない場合どうやってる？

1.いきなりStrictにして1からゴリゴリポリシー定義
2.targetedで起動→もとから定義されているポリシーを基に必要なポリシーを定義。不必要なポリシーは捨てる
3.ポリシーエディタでGUIマンセーと言いながらポチポチ…
4.SELinuxマンドクセ(´Ａ｀)から使わない。クラッキング？されないよ。

さぁ、どれ？
310 名前：login:Penguin mailto:sage [2006/07/14(金) 08:42:38 ID:/litWvkG]: >>309
４
鯖移行の時間的猶予がなかったから
そこまで手が回らんかった
311 名前：login:Penguin mailto:sage [2006/07/14(金) 09:34:59 ID:fzToeWsD]: セキュリティコンテキストの粒度が粗すぎる。
手間のわりに得られるものが小さい。
312 名前：login:Penguin [2006/07/14(金) 11:22:31 ID:Au5mkboI]: >>309
1かな。SELinuxとポリシのバージョンにもよるけど
基本的には一つ一つつぶしていく。
おかげでシステムに変更があるたびにひぃひぃ言ってるけどねー。

>>311
というと？network周りの粒度はだめすぎだけど、どの辺が粗いの？
security contextってラベルのことで、粒度じゃないんだが…。
標準のポリシで宣言されてるsecurity contextが粒度が粗いってこと？
313 名前：login:Penguin mailto:sage [2006/07/15(土) 03:54:37 ID:o7cn6VKH]: 結局strict使わないとガマンできなくなってきた
targetedじゃ不満なの
314 名前：ひﾟょん♂ mailto:sage [2006/07/21(金) 18:21:36 ID:vpOGPyfK BE:756669896- ]: WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく！
315 名前：login:Penguin mailto:sage [2006/07/26(水) 01:51:01 ID:E/yMm3qA]: ttp://ja.wikipedia.org/wiki/SELinux
これだな
316 名前：login:Penguin mailto:sage [2006/07/28(金) 20:01:21 ID:naP4/z2F]: >>314 さん、残念！
317 名前：login:Penguin mailto:sage [2006/07/29(土) 01:05:53 ID:ooO7KrP9]: GFDL違反だったのね。はやく直してね
318 名前：ひﾟょん♂ mailto:sage [2006/07/30(日) 18:46:31 ID:7OZFwZRa BE:168148962-2BP(11)]: ｏｒｚ　
ひﾟょん♂はめげないびょん！　
みんなの努力は無駄にしないびょん！
319 名前：login:Penguin [2006/08/08(火) 02:17:53 ID:kKxQ5ddh]: /etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)

どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。

ちなみにOSはCentOS4.3です。
320 名前：login:Penguin [2006/08/09(水) 08:31:49 ID:sAXh/maJ]: おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん（ｗ
321 名前：login:Penguin mailto:sage [2006/08/09(水) 13:03:21 ID:EvfB/Ijo]: よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ﾟДﾟ)oﾌﾞﾝﾌﾞﾝ
322 名前：login:Penguin mailto:sage [2006/08/10(木) 11:49:00 ID:BuQH6vVh]: >>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況？
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな？

てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目？
323 名前：login:Penguin mailto:sage [2006/08/10(木) 19:48:38 ID:P0AUZ9Cm]: >>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする？と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。

sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。

対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。

/etc/init.d/postgresqlがいいサンプルです。いじょ
324 名前：319 mailto:sage [2006/08/11(金) 20:54:13 ID:FuajfgM8]: >>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。

ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。
325 名前：login:Penguin mailto:sage [2006/08/12(土) 01:52:44 ID:zNJFRxv2]: そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ？
326 名前：login:Penguin mailto:sage [2006/08/12(土) 01:56:48 ID:lXyPDQFa]: 労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。

jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。
327 名前：login:Penguin mailto:sage [2006/08/12(土) 13:00:38 ID:qaCnxs+9]: まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。

守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。
328 名前：login:Penguin mailto:sage [2006/08/13(日) 15:10:02 ID:MX6/xln0]: ACLでもroot権限がある限り意味なくね？
329 名前：login:Penguin mailto:sage [2006/08/13(日) 15:24:08 ID:9z7pAa4b]: rootのっとられたらそりゃ終わりさ。
330 名前：login:Penguin mailto:sage [2006/08/14(月) 01:06:55 ID:n3hb6PHF]: 管理者権限奪取を防ぐのがSELinuxじゃないの？
企業とか個人とかの問題ではないような
331 名前：login:Penguin mailto:sage [2006/08/14(月) 01:23:14 ID:6sxGzDLo]: 管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。

でも全Linuxerの何%がポリシー作るところからやってるのかな？
332 名前：322 mailto:sage [2006/08/14(月) 13:06:55 ID:PGuDhi6G]: >>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり？

>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば？という話になるし。
（POSIX ACL。Kernel2.6以降で利用可）

>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用）
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。

まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。
333 名前：login:Penguin mailto:sage [2006/08/14(月) 23:17:47 ID:6sxGzDLo]: >332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)

>人間業じゃなくて神業の領域だけど。
だよねえ。。
334 名前：login:Penguin mailto:sage [2006/08/14(月) 23:45:50 ID:n3hb6PHF]: TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー
335 名前：323 mailto:sage [2006/08/15(火) 21:20:16 ID:2nHPUtyi]: >>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
　# And start it up.
　if [ -z "$user" ]; then
　　$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
　else
　　$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
　fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。
336 名前：login:Penguin mailto:sage [2006/08/16(水) 15:29:47 ID:fEuPMp3H]: これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能？
337 名前：login:Penguin mailto:sage [2006/08/18(金) 13:01:52 ID:TZakQUvB]: SELinuxって実はけっこう使われているの？
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから
338 名前：login:Penguin mailto:sage [2006/08/18(金) 13:49:56 ID:GqAwobo6]: Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。
339 名前：login:Penguin mailto:sage [2006/08/24(木) 01:15:31 ID:jMRHgiY/]: unconfined_tってフルアクセス権じゃないってこと？
340 名前：login:Penguin mailto:sage [2006/09/19(火) 03:54:30 ID:SAA96Un5]: 思ったほど難しくないよね
341 名前：319 [2006/10/07(土) 01:49:39 ID:0VQxcj1l]: 結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。

このスレも廃れてますね…
342 名前：login:Penguin mailto:sage [2006/11/24(金) 22:38:24 ID:wx5gf/fe]: 誰か、これわかる？
ttp://bbs.fedora.jp/read.php?FID=9&TID=4775
343 名前：login:Penguin mailto:sage [2006/11/26(日) 02:08:18 ID:fQeoc878]: SELinux儲かってる？
344 名前：login:Penguin mailto:sage [2006/12/04(月) 23:54:45 ID:g4pIfnK5]: >>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ

継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、５年後位には変更が
超困難なシステムになってそう。
345 名前：login:Penguin mailto:sage [2006/12/08(金) 02:26:01 ID:uYBNBzil]: メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない？
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない？
346 名前：login:Penguin mailto:sage [2006/12/14(木) 01:16:38 ID:FEduJ84b]: そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。

非常にうまいパズルみたいな設定を思いついても、未来の自分とか５年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。
347 名前：login:Penguin mailto:sage [2007/01/01(月) 14:03:54 ID:ZA4pg8/A]: サーバのセットアップは10%が設定で90%がドキュメント書きです。
348 名前：login:Penguin mailto:sage [2007/01/01(月) 17:06:03 ID:cCEHaAby]: しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・
349 名前：login:Penguin mailto:sage [2007/01/01(月) 21:18:49 ID:ZA4pg8/A]: あるあ・・・・・

・・・ある
350 名前：login:Penguin [2007/02/03(土) 21:22:32 ID:genGKaeR]: SEEdit使えるディス鳥だと滅茶苦茶楽なのね
351 名前：login:Penguin [2007/02/03(土) 23:18:08 ID:Mbd9W+hX]: >>350
debianにも対応して欲すい。
352 名前：login:Penguin mailto:sage [2007/02/03(土) 23:58:53 ID:95H1oCnY]: SLIDE
oss.tresys.com/projects/slide
353 名前：login:Penguin mailto:sage [2007/02/04(日) 01:24:01 ID:JEZbmpW6]: >>352
うーむ。玄人向けのツールでつねw。
354 名前：login:Penguin mailto:sage [2007/02/04(日) 15:36:22 ID:5jUhfyFG]: restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。
355 名前：login:Penguin mailto:sage [2007/02/04(日) 18:51:49 ID:weMH9ex9]: >>354
どういうこと?
356 名前：login:Penguin [2007/02/14(水) 02:14:49 ID:7vXpsxj1]: pc9.2ch.net/test/read.cgi/mac/1171230282/64-66 によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです
357 名前：login:Penguin mailto:sage [2007/02/14(水) 02:58:07 ID:m4IlMoGA]: セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。

SEBSDだってSEDarwinだってあるのにねー。

まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。
358 名前：login:Penguin mailto:sage [2007/02/14(水) 08:58:01 ID:niX0xEiK]: Debian sidでSELinuxを有効にしてみた。

ttp://wiki.debian.org/SELinux

を見てやってみた。とりあえずpassiveモードで動かすことにしよう。

動かした後は、

ttp://fedora.redhat.com/docs/selinux-faq-fc5/

に書かれていることの方が詳しいらしい。英語だけど。
359 名前：login:Penguin mailto:sage [2007/02/14(水) 16:28:27 ID:1y5ZKtbN]: 慣れれば簡単だよ。がんばれ！
360 名前：login:Penguin [2007/02/15(木) 03:14:44 ID:m3smwIxK]: 今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった

Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった

しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。

どうやったらSamba使ってのファイルの移動ができるようになりますか？
SELinuxをオフとかPassiveモードはなしでお願いします。
361 名前：login:Penguin [2007/02/15(木) 03:57:07 ID:m3smwIxK]: げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったｗ
Linux触って1ヶ月も経たない俺じゃ無理だな

SELinux OFF。。。
362 名前：login:Penguin [2007/02/15(木) 08:57:40 ID:43dnQNxp]: SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。
363 名前：login:Penguin mailto:sage [2007/02/16(金) 01:34:40 ID:wqIfZsXx]: SELinuxでSamba使えるようにするおまじないってあるのか？
もれは挫折したよｗ
364 名前：login:Penguin [2007/02/20(火) 03:52:53 ID:Ca1ZTyX/]: samba_enable_home_dirs
365 名前：login:Penguin mailto:sage [2007/02/21(水) 09:08:43 ID:LnST7+x3]: こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。

こういうものは、GUIツールで
カテゴリ別に分類し、
説明（当然日本語）を横に併記するツールを
使わないと手におえない。

昔のアドベンチャーゲームみたいだよ。
しっているか？昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。

「go west」「open door」見たいにね。
こんなの今やりたいと思う？
366 名前：login:Penguin mailto:sage [2007/02/22(木) 10:08:59 ID:Npz4O/wL]: GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。
367 名前：login:Penguin mailto:sage [2007/02/22(木) 17:04:53 ID:sTb3TkGi]: >>365
polish pillar
368 名前：login:Penguin [2007/02/23(金) 01:34:09 ID:qdcf1zF9]: >>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った
369 名前：login:Penguin [2007/03/11(日) 08:22:06 ID:wX/2NnTP]: SEポスグレってすごいの？
370 名前：login:Penguin [2007/04/06(金) 01:06:33 ID:UPWHeFdH]: で、誰か実際につかっているの？
371 名前：login:Penguin mailto:sage [2007/04/06(金) 04:13:38 ID:cKBkkTOC]: ノ
372 名前：login:Penguin mailto:sage [2007/04/08(日) 14:11:42 ID:LO1Xtzj3]: /opt以下につっこんであるやつの設定を追加しようとしたけど
元々の/optのが優先されててだめぽ
なんか悔しいぞ
373 名前：login:Penguin [2007/04/10(火) 02:00:50 ID:hMSFLh9c]: ↑？
374 名前：login:Penguin mailto:sage [2007/04/10(火) 02:54:48 ID:rNCKWXPT]: Security Contextを貼り付けたいんだけど、
既に定義が書かれていてコンフリクトした挙句、
元々のが優先されるって意味だと解釈してみるテスト
375 名前：login:Penguin [2007/04/22(日) 01:35:18 ID:PB4N3AEh]: >>374
semanageでファイルコンテキストを設定できるにょ。
376 名前：login:Penguin mailto:sage [2007/05/10(木) 18:20:01 ID:BLf25W9d]: えっと
今 CentOS 5.0 + Apache 2.2.3 + SELinux でドツボにはまってます。
google先生に聞いても埒があかない状態で困ってます。

まずは、ここにあることは全部やったんです。
ttp://bbs.fedora.jp/read.php?FID=9&TID=4246

だけど
chcon -R -t public_content_rw_t public_html
をやると、cgi(Perl記述のもの) が正常に実行されません。
Internal Server Error です。

/var/log/httpd/suexec.log をみると
「cannot get docroot information (/home/user1)」が出ています。

suexecは有効になっていません。(apachectl -V って実行すれば確認できるんですよね？)
setenforce 0 をすると動くし、
/sbin/restorecon -RF public_html をすると動くんです。

もし、何らかのヒント、キーワードなどを提示できる方がいらっしゃいましたら、ご教示お願いします。
377 名前：login:Penguin mailto:sage [2007/05/10(木) 19:18:43 ID:NluEhGm9]: えーと、俺まだ4.4使ってるんで詳しいことは分からないのだが、まずはgetseboolしてごらん。
378 名前：376 mailto:sage [2007/05/11(金) 14:21:27 ID:Nl1Y51hb]: えっと、すいません。
getsebool -a 眺めてもさっぱりわかりませんでした。

んで、その中に
httpd_enable_ftp_server
なんてものを見つけて、これをONにしたら、

chcon -R -t public_content_rw_t public_html
/usr/sbin/setsebool -P allow_ftpd_anon_write 1
/usr/sbin/setsebool -P allow_smbd_anon_write 1

これらをやらなくてもちゃんと FTP で読み書きできるじゃないですか。。。

Sambaでのpublic_htmlは、便利とともに、問題も感じていたので、
この際、FTPベースでの運用に切り替えたいと思います。

どうもありがとうございました。
379 名前：377 mailto:sage [2007/05/11(金) 14:35:57 ID:Yp1rNt+V]: 実験環境の5で見てみたけど
man httpd_selinuxしても、まだhttpd_enable_ftp_serverの説明はないみたいだね。
一応、httpd_selinuxのmanが書かれた時期は
public_content_*_tにすることでSambaやらhttpdやらで共有できるようにはなるとある。
…まぁ、targetedならsambaにせよ、幾つかseboolのフラグ変えるだけで問題ないんだけどね。
380 名前：login:Penguin [2007/06/16(土) 21:03:04 ID:TVeCm9rc]: seeditの*.deb版マダー？
381 名前：login:Penguin mailto:sage [2007/06/21(木) 19:27:53 ID:Li79wnCV]: www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html
382 名前：login:Penguin [2007/06/30(土) 23:12:48 ID:k22DBsYL]: >>381
> www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html

でも、まだまだSELinuxって使いにくいよねぇ。
383 名前：login:Penguin [2007/07/04(水) 12:50:00 ID:53ILzz44]: TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
１００００００ペリカ
384 名前：login:Penguin mailto:sage [2007/07/07(土) 13:43:54 ID:gAah8Via]: 習合って……双方の開発主体を知ってて言ってる？

だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
ttp://esashi.mobi/~matthew/wordpress/archives/80
ここいら見てみなよ。

あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。
385 名前：login:Penguin mailto:sage [2007/11/08(木) 02:31:23 ID:2bvNqaeb]: SELinuxを有効化した導入は進んでますか？
386 名前：login:Penguin [2007/11/16(金) 03:49:29 ID:Mx9qhpa0]: ubuntuでselinux入れてみた
動かない　MLで揉めてるふいんきだｗ
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ　ｳｰﾑ
ぐぐってるとバグだらけのｵｶﾝ
387 名前：login:Penguin [2007/11/16(金) 08:08:20 ID:ub3hseD8]: >>386
ディストロに拘りがないなら Fedora にしてみたら？
今のところ、俺のところでは特に問題なく動いてるよ。
388 名前：login:Penguin [2007/11/17(土) 21:10:08 ID:67XJ07B1]: >>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよｗ
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな　茨の道はまだまだ続く
389 名前：login:Penguin mailto:sage [2007/12/28(金) 22:07:31 ID:XM+yOsqH]: ・kernelに権限昇格の脆弱性がある
・WEBアプリ（PHPやCGI）に脆弱性があって、ローカルアタックかけられる状態

この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか？
390 名前：login:Penguin mailto:age [2008/01/02(水) 18:01:48 ID:uxhAJiRr]: age
391 名前：login:Penguin [2008/01/13(日) 21:53:54 ID:8SqKnp92]: help me

SELinuxを勉強したいんで頑張ってます。

MySQLは起動してるんですが（シェルから入れる）
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。
392 名前：login:Penguin [2008/01/13(日) 21:57:28 ID:8SqKnp92]: あ！httpd_can_network_connect_db=1にしたら接続できました！
お騒がせして申し訳ない。
393 名前：login:Penguin [2009/03/01(日) 12:10:06 ID:qMTRjR4D]: ぬるぽ

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef