SE (security enhance ..
116:login:Penguin
05/03/01 00:10:42 2S1ezsEn
>>115
これもターボがからんでいるとは
117:login:Penguin
05/03/01 08:25:58 nT2TU4zb
会長がおともだちのPCにリナックスを入れてくれるらしいぞ。
ハァハァ
118:login:Penguin
05/03/02 05:03:55 +4E0glIi
会長!ベットの中でSELinuxについて教えてください!
119:login:Penguin
05/03/10 17:17:53 yxaV5U7b
fcファイルを編集のち以下のようにコマンドを実行したのですが反映されて
いないらしく、httpd.confのログファイルの出力先を変更した場合にhttpdを
起動する事が出来ません。file_contextsには反映されているようです。
更に何かする必要があるのだと思うのですがどうしたら良いのでしょうか?。
fcファイルに追加
/abc/public_html(/.*)? system_u:object_r:httpd_sys_content_t
make reload
load_policy policy.18
120:login:Penguin
05/03/11 00:53:58 RaDjPhri
setfiles
121:login:Penguin
05/03/11 03:55:33 NJcMHUX0
>>119
変更範囲がわかってるなら、setfilesが速いけど、
make relabel っていうのが出来るはず。
あと、ログになんか出るんじゃない?
122:119
05/03/11 10:22:41 4gTW0GFK
>>120,121
messagesに出力されているログですがこれの事でしょうか。
Mar 11 09:39:11 hoge kernel: audit(1110501551.417:0): avc: denied { search } for pid=3664 exe=/usr/sbin/httpd
name=server dev=hda2ino=7733249 scontext=root:system_r:httpd_t tcontext=system_u:object_r:file_t tclass=dir
make relabelでは全てのポリシーを書き換えているので時間がかかるという考え方で良いのでしょうか。
setfilesでは変更したポリシーだけを書き換える事が出来るの早いのですね。setfiles単独の使い方が良くわかって
いないので後々、勉強して行きたいと考えております。
make reload
make relabel
/usr/sbin/load_policy /etc/selinux/targeted/policy/policy.18
コマンドの順番を変えてみたりしているのですがそれでもhttpd.confのパスを変更するとhttpdを起動出来なくなり、
上記と同等なログがメッセージに出力されます。
また、/etc/selinux/targeted/contexts/files/file_contextsには変更箇所が出力されています。
何が原因なのでしょうか?
123:login:Penguin
05/03/11 15:24:06 k3CAiL8Z
>>122
これも追加してみて
/abc system_u:object_r:httpd_sys_content_t
124:122
05/03/11 16:18:17 4gTW0GFK
>>123
/abc system_u:object_r:httpd_sys_content_tを追加する事で起動に成功しました。
他のファイルで通常の/から始まるディレクトリへのアクセスが許可されていて、
/からの新規ディレクトリを作成した場合には新たにルールを追加しなければ
ならないという事なのですね。
ありがとうございました。
125:122
05/03/11 17:12:41 4gTW0GFK
/abc
/htmlsystem_u:object_r:httpd_sys_content_t
/logsystem_u:object_r:httpd_log_t
という複数のサブディレクトリを用意した場合にはどうするべきなのでしょうか。
/abcsystem_u:object_r:httpd_sys_content_t
/abcsystem_u:object_r:httpd_log_t
では、make reload時にエラーとなります。
teファイルを覗いて見て、httpd_tを設定したら良さそうなので設定してみたら
make reloadは通ったのですがこういう設定に問題はないのでしょうか?
126:login:Penguin
05/03/11 17:14:29 k3CAiL8Z
>>124
ちなみに、/abc を system_u:object_r:httpd_sys_content_t にできない場合は
fcじゃなくてteファイルに、こんなのを追加してみるのもいいかも
--
allow httpd_t home_root_t:dir search;
--
home_root_t は"ls -dZ /abc"などで確認して適宜書き換えてください。
間違っても root_t とかにはしないほうがいいと思うけどね。
127:login:Penguin
05/03/11 17:18:32 k3CAiL8Z
>>125
/abc の後ろにスペース入れてる?
128:122
05/03/11 17:50:44 4gTW0GFK
>> k3CAiL8Zさん
httpd_tはダメでした。relabelで弾かれてしまいました。
teファイルを変更しない場合には、read writeが許可されている
httpd_sys_content_tを使用するのが良いみたいでした。
teファイルの方は未だ変更の仕方が良くわかりませんが、
allow httpd_abcd home_root_t:dir search;
とする事で httpd_abcd をディレクトリに割り振り出来るという
事なのではないかと見ています。書き込んだ後に変更を加えて
確かめてみたいと想います。
/abcの後に空白はあります。同じディレクトリに複数の設定を
行うのは無理のようでした。
129:login:Penguin
05/03/11 18:13:28 k3CAiL8Z
>>128
勘違いしてるみたいだけど、やりたいことはfcに3行入れれば多分できるでしょう。
*.fc
--
/abc system_u:object_r:httpd_sys_content_t
/abc/html(/.*)? system_u:object_r:httpd_sys_content_t
/abc/log system_u:object_r:httpd_log_t
--
>>126 は
/abc をApache以外にも使うならteいじる必要あるかもしれないけど
という意味なので無視しといてください。
130:128
05/03/11 18:54:14 4gTW0GFK
>>129
あ、大丈夫です^^。fcの方には129と同じようにしてあります。
teの方はhttpd_tにはroot権限?とディレクトリの検索を許可します。
という意味に見えます。実際にはhome_root_tにも設定があり、
継承しているという事になるのでしょうか。根本的な所まで
追いかけないと見えてこないものが沢山ありそうです。
131:login:Penguin
05/03/11 19:35:00 k3CAiL8Z
>>130
Apacheでしか使わないならteいじんなくていいよ。
それ以外でも使うなら、"ls -aZ /abc"の結果でも教えて。
132:login:Penguin
05/03/13 04:29:00 Smjmhscy
SELinuxに詳しい人多いんだね。
オレも勉強しなくては
133:login:Penguin
05/03/18 22:12:04 cnaFhVSF
SELinuxで使用出来ない文字、または誤動作の要因となる文字などはあるのでしょうか?。
httpdにおいて同一ディレクトリ同一所有権パーミッションでありながら表示できる画像と
表示できない画像が存在します。SELinuxを無効にすると正しく表示されるのでSELinux
が関係しているのは間違いないと想われます。
表示できないケースでは以下のようになります。
You don't have permission to access path on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
134:login:Penguin
05/03/18 22:19:21 MrN6Qq1S
>>133
表示できるファイルと、そうでないファイルの"ls -Z"の結果は?
アクセスできなかったときに"/var/log/messages"になんて出る?
最低限これくらい書いてくれないと答えようもない
135:133
05/03/18 22:28:49 cnaFhVSF
>>134
申し訳ありません;。
$ ls -Z ではディレクトリ内の全てのファイルが httpd_sys_content_t となっております。
アクセス出来なかったファイルの内、1つのファイルをha_b_012.jpg > ha.jpgに変更する
事でアクセスが可能となりました。そこで他のファイルでも_と数字を除きアクセスして
みましたが、こちらの方はアクセス出来ませんでした。
$ cat /var/log/messages
kernel: audit(1111151779.769:0): avc: denied { getattr } for pid=10813 exe=/usr/sbin/httpd
path=path dev=hda2 ino=7422115 scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file
136:133
05/03/18 23:03:37 cnaFhVSF
RHELのクローンですから当然、RHELにも同様の問題があると想われます。
つまり、SELinuxって予想以上に使われてないのですね。
SELinuxが返って穴にならなければ良いのですが;。
137:login:Penguin
05/03/18 23:12:36 SQmxFIAD
穴が開いてるのはおまえの脳味噌だろ。
運用出来るだけの知恵が無いんだからSELinuxはdisableにして正解だったな。
138:133
05/03/18 23:53:35 cnaFhVSF
>>137
好き勝手言って貰っても構いませんが何処が問題なのか指摘してください
.fcはphp(/.*)としてあり、問題となっているディレクトリはphp/abc/def/にあります
期待上げ!
139:133
05/03/18 23:59:59 cnaFhVSF
>>137
2行しか書けないFedraユーザーみたいだね
無理言ってすまない
140:login:Penguin
05/03/19 00:33:57 AdJo+AG7
アンチFedoraは例外無く池沼ばかりだなw
141:133
05/03/19 00:53:30 4vL6hAaV
>>140
うちにFedraもあるよ
ディストリを差別する気はありませんが特定の個人なら差別しても許せるかもね^^
142:login:Penguin
05/03/19 01:28:02 ilrOwGMs
言われたものだけじゃなくて可能性ありそうな設定全部書いてみれば?
143:login:Penguin
05/03/19 06:41:31 JM3a88Pg
audit2allow
144:133
05/03/19 09:26:07 4vL6hAaV
いろいろと試行錯誤し考えてみた結果、原因となる幾つかの要因が見えました。
httpdポリシーにおける設定変更自体には全く問題ありませんでしたが結果と
してアクセス出来るファイルとそうでないファイルが存在したのは間違い
ありません。対処方法もいくつか考えられますが実際にどれくらいのファイルが
影響を受けるのか現状のまま確かめて見たいと考えております。
ただ、総合的にSELinuxの役割として予想外の動作をしていたのは間違いありません。
145:login:Penguin
05/03/19 12:40:19 QodH++gB
>>135
単純に
tcontext=user_u:object_r:user_home_t tclass=file
だからじゃないの?
146:login:Penguin
05/03/19 23:26:26 YRe93jvD
home_tを読ませるように設定するか、
ファイルをきちんとラベル付けしなけりゃ問題があるのは
当たり前やろ。
DACで言うところの600root:rootのファイルが通常ユーザーでは
読めませんとかいう質問のようなもんだろ。
147:133
05/03/20 09:46:54 1Ea4E4Vw
以下のように同じディレクトリにあるファイルで差が出るのはおかしくはないのですか?。
home_tだからというなら理由なら、ほぼ同じ条件にある他のファイルが読めるというのは
納得が行きません。www以下にあるファイルは全てhttpd_sys_content_tが適応されている
はずであり、読めないのであれば全て読めないのが本来あるべき動作のはずです。
home_tだから読めないという事であるならば、Zで表示されている内容と実際の内容が
異なるという事だと想われますが如何でしょうか?。
www(/.*)?
ls -aZ
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha_b_012.jpg
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha.jpg
ls
ha_b_012.jpg ← 読めない
ha.jpg ← 読める
148:login:Penguin
05/03/20 11:34:48 TBDKXLZq
だからおかしいのはオマエの脳。脳に障害があるのにサーバ構築なんかムリだって。
149:login:Penguin
05/03/20 13:42:54 1Ea4E4Vw
>>148
初期設定Fedra君、自分のスレにお帰りなされ^^。
150:login:Penguin
05/03/20 13:58:48 TBDKXLZq
脳に障害がある奴は常にアンチFedoraであるという法則w
151:login:Penguin
05/03/20 14:11:10 TBDKXLZq
>>149
いいかい、君はアスペルガー症候群だ。
既に何度かそう診断された事があるだろ?
障害を持つ身で努力しようとする態度は立派だけどはっきり言って迷惑だから帰ってくれ。
警察とか消防隊員とか、障害者には出来ない仕事があるんだよ。技術者もその1つ。
社会に貢献したければ君に出来る仕事は他にいくらでもあるはずだ。
自分の身の丈に見合う事をやりなさい。
152:login:Penguin
05/03/20 16:18:35 1Ea4E4Vw
>>151
>FC4T1のgijで動いてるTomcat、abでちょっとベンチ取ろうとしただけで落ちる。
FC4の実験、お疲れさま^^
それから「アンチFedora」というフレーズを少しは変えようよ
せっかくIDが変わっているのだし、もう少し効果的な発言をしようね
次の面白い発言に期待していますよん
期待あげ!
153:login:Penguin
05/03/20 20:53:34 ki45pfhI
home_tのアトリビュートが取れないっていっているんだから、
/var/log/messagesの見てるところが違うんじゃないの。
まずパーミッシブにしてすべて動かしてみて、
引っかかる権限に対するルールを全て書き加えていけばいいじゃん。
(tail -fしながら問題のある所をpermissiveでどういう
ログがでるか観察。)
SELinuxそのもののバグならバグの報告する。
154:133
05/03/20 21:21:46 1Ea4E4Vw
>>153
お返事ありがとうございます。
アクセスしているパスが異なる、また勘違いなどは第一に疑いましたが、full_pathの部分は
確かに表示されないファイルのフルパスになっております。また、messagesファイルを
監視しても同様の結果としかなりませんでした。
ただアクセスさせる為なら闇雲にルールの追加を行えば良いのですが、それではSELinuxの
稼働意味が損なわれてしまいます。
また何度か検証した結果、この事例が発生する行程が判明致しましたが何分、TBDKXLZqさん
がおっしゃるように私は脳を病んでいる事もあり、またPC歴も20年と浅いので妄想として
心に閉まっておく事に致します。
ご協力してくださった皆様、ご迷惑をおかけしました。
kernel: audit(1111188853.244:0): avc: denied { getattr } for pid=2555 exe=/usr/sbin/httpd path=full_path dev=hda2
ino=7422115 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file
155:login:Penguin
05/03/20 21:39:44 ki45pfhI
SELinuxユーザー会のメーリングリストに投げてみたら?
ログにあった権限を追加していくのは、本当にログの
情報があってるかどうか確認する為で、その穴だらけの
状態で運用しろという意味じゃない。
156:login:Penguin
05/03/20 21:42:32 ki45pfhI
基本的には
検証>確認>システム、もしくはポリシーの編集>検証に戻る
てな感じにやっていくしかないんじゃないの?
ドキュメントも少ないし、成熟もしていないわけだから、全て最初から
完成させる事ができるとは思わない方が良いのかなと
個人的には思います。
157:login:Penguin
05/03/21 01:19:41 Pg6EgOd7
なに、バグなの?
158:login:Penguin
05/03/21 01:22:18 ONFyNY6p
>>1
矢口真里写真集「OFF」
159:login:Penguin
05/03/21 13:03:52 RRoZFv1H
>>157
脳のバグ。
160:login:Penguin
05/03/21 13:51:20 jBLCHfdu
矢口ってちっちゃいけどかわいいよね。
モー娘。の中では一番、しっかりしていて頭が良いと思うよ。
ちゃんと勉強すればSELinuxぐらいマスターするんじゃないかな。
161:login:Penguin
05/03/21 21:45:36 RORt2abZ
1つハッキリしたのはMLを読んでいる奴が1人も居ないと事実だけだな
162:login:Penguin
05/03/21 22:41:00 RRoZFv1H
fedora-selinuxなら読んでるがw
163:login:Penguin
05/03/30 23:31:08 5Uz6Ix3e
クライアントには使えるの?
164:login:Penguin
皇紀2665/04/01(金) 07:25:06 r2NxX0YQ
Zend Optimizer(PHPのコード最適化エクステンション)が組み込まれないので悩んじまった。
httpdのエラーログには読み込みのパーミッションエラーで出てたのに、
インストールの設定に間違いない事しか確認してなかった。
勉強不足。徹底ガイド買ってきて勉強しよ
165:login:Penguin
05/04/02 15:38:39 IIOd+esG
安定ディス鳥でカーネル2.6採用してる所ってまだ少ないんですね
166:login:Penguin
05/04/02 20:21:03 iY/0s9iF
ポリシーのバージョンが19になる、カーネルはどれですか?
2.6.11でも18なんだけど、まだカーネルツリーには入ってないのかな。
167:login:Penguin
05/04/04 22:17:28 SuTxAeX/
セキュアOSとアクセス制御の勉強がしたいのですが、
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
「SELinuxシステム管理―セキュアOSの基礎と運用」
という本が2冊あるのですが、どちらのほうが詳しく書いてあるのですか?
どなたかご存知の方いらっしゃいますか?
168:login:Penguin
05/04/05 00:08:05 eXjYXAjT
>>167
徹底管理は日本で昔からセキュアOSに取り組んで来た人が書いた本なのでこちらを薦める。
もう一方は翻訳本。こちらのほうが新しく、内容も詳しくてリファレンス的。
でも最初に読む本としてはちょっと難しいかもしれない。
169:login:Penguin
05/04/05 00:08:46 eXjYXAjT
「徹底管理」じゃなくて「徹底ガイド」ね。
170:login:Penguin
05/04/05 00:32:58 6qYQ729W
いまどきFedoraCore1ベースの内容は古すぎないか?
171:login:Penguin
05/04/05 09:10:42 ujfSY/uD
>>168,169
詳細サンクスですm(__)m
早速注文して、勉強しようかと思います。
>>170
fedora 1ベースでも、SE Linux自体の設定は変わらないと思いますのでそこら辺は問題ないかと。
出版された時期が時期だから仕方ないでは?
172:login:Penguin
05/04/07 00:43:36 /slzzvEj
2冊しかないんだし、両方買っちゃえばいいじゃん
173:167
05/04/10 11:33:25 rXUX0agL
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
を購入しまして、ただ今勉強中なのです。
part1のセキュアOSの概要の中で、実際にwu-ftpdでの侵入をやっています。
自分のマシンにwu-ftpdを入れてローカルにて侵入してみたいのですが、ソースコードが見当たりません(侵入プログラムだからそう簡単に配布できないのは分かっています)
そこで、本の中でプログラムにつけられてた名前(ftpexploit)で検索をかけたら、それっぽいソースコードが引っかかりました。
URLリンク(www.hackemate.com.ar)
だけど、これ(コメント文が)英語ではないっぽいので使い方が分かりません。
どなたかご存知の方がいらっしゃったら教えてほしいのですが。
決して悪いことには使いませんので、宜しく御願いしますm(__)m。
174:login:Penguin
05/04/10 12:13:16 P0rRpkGQ
>>173
引数が1つしかなくて、あんなに短いソースなのに?
175:login:Penguin
05/04/10 12:19:17 JCyLqN7t
邪な心があるから読めないんだよw
176:167、173
05/04/10 12:50:56 rXUX0agL
>>174
言われてみれば、そこまで長いソースでないので頑張って読んでみます。
だけど、知らない関数が…
ちなみに、ソースコードの.arからアラビア語だと思って、翻訳かけたらすごいことに…
コメント文に何が書いてあるかちと知りたい。
177:login:Penguin
05/04/10 13:18:31 P0rRpkGQ
>>176
そのまま自動翻訳掛けてる時点でMake
Exploit C0D3D by [Hellraiser]を自分で訳してみな。
178:login:Penguin
05/04/10 13:31:10 2od0vbE4
アラビアって名前の国はないんでどうかひとつ
アラブ首長国連邦なら .ae
サウジアラビアなら .sa
世界のドメイン情報
URLリンク(www.benri.com)
179:login:Penguin
05/04/10 14:53:54 rXUX0agL
>>177
>Exploit C0D3D by [Hellraiser]を自分で訳してみな。
自分で訳したら、「Hellraiser(ヘルレイザー)によってC0D3Dを開発する」
って感じになるのですが....。
>>178
間違ってたみたいですね。
arだからアラビア圏のどっかだと思ってました。
.arは、アルゼンチンですね(言語はスペイン語)
ありがとうございますm(__)m
180:login:Penguin
05/04/10 15:25:30 XO5Kjlei
C0D3D ってのは coded って読むのだよ。
181:167、173、179
05/04/10 15:38:35 rXUX0agL
>>180
そうだったのですか。ありがとうございます。
ということは、「Hellraiser(ヘルレイザー)によって功績は暗号化された」ってことになります。
>そのまま自動翻訳掛けてる時点でMake
の意味が分かりました@@
182:login:Penguin
05/04/18 18:09:48 GyZFJyyz
googleで調べりゃくさるほどコード出てくるけどな
もっとよく探してから聞けよ
なんか話がそれてるな
183:login:Penguin
05/05/02 00:02:16 nQQXjlrv
Oracleのポリシーできた?
ってか、日本オラクルは作ってくれないの?
184:login:Penguin
05/05/12 22:47:07 JM0i3cbl
URLリンク(www.nsa.gov)
HTTP/1.1 200 OK
Connection: close
Date: Thu, 12 May 2005 13:37:45 GMT
Server: Microsoft-IIS/6.0
どこまでほんと?
185:login:Penguin
05/05/28 19:24:31 SZbGwWIV
ハァ?
186:login:Penguin
05/05/30 00:13:44 KWwFz+yC
>>184
ヘッダ情報だけだからいくらでも偽装できる
187:login:Penguin
05/05/30 08:40:40 iZPaZpQK
>>184
Windows Serverっていうのは本当っぽいよ。
OSとWeb Serverを表示させるHPでやってみたら、
OS:Windows Server 2003
Web Server:Microsoft-IIS/6.0
って出てきたから。
188:login:Penguin
05/05/30 08:57:51 i64dRy21
流石NSAだ
俺らはWindowsだろうと堅固に出来るぜということか
189:login:Penguin
05/06/21 23:35:20 k46Hhdg9
age
190:login:Penguin
05/07/14 05:17:41 TFsXQ32L
191:login:Penguin
05/07/22 03:52:12 WIaeG04T
NSAによる壮大な釣り・・・・だと思う
192:login:Penguin
05/07/22 09:58:25 ymZGW3HP
Windowsの方がLinuxより堅牢にするのは簡単そうだ
Windows: 穴がすぐ出来るがすぐ塞がる
Linux: 穴がなかなか出来ないがなかなか埋まらない
だからな
193:login:Penguin
05/07/23 01:23:00 OG8etS/6
>>192
もうすでに発表から何ヶ月も過ぎている穴がいくつもポコポコあいてますが・・・
MSは穴を塞ぐ気がないようですが・・・
簡単ですか・・・そうですか・・・
194:login:Penguin
05/08/03 12:52:41 oR/NUpKB
>>192
お前はアホか?
Windows : 穴がすぐ見つかる上にMSにその気がなければ、平然と何ヶ月も放置。全てはMSの気分次第。
Linux : Windows同様、穴が見つかる事も多々あるが、オープンソースコミュニティにより、誰かがその穴を塞ぎすぐにパッチがでる。
195:login:Penguin
05/08/03 13:11:10 kkYvCA+6
>>194
>誰かがその穴を塞ぎ
ここが弱い。近年どんどん弱まってる。保証も無い。
MSの場合、気分次第とは言ってられないから必ず穴は塞がれる。
196:login:Penguin
05/08/03 20:24:58 E0to4R2W
URLリンク(headlines.yahoo.co.jp)
だとよw
197:login:Penguin
05/08/04 17:05:15 YSDGc6SO
>>195
MS狂信者が何故ここに?
URLリンク(www.google.com)
198:login:Penguin
05/08/14 21:14:51 q9taHhbq
make clean
199:login:Penguin
05/08/17 14:17:36 jxiwnKnn
-bash: make clean: command not found
200:login:Penguin
05/08/20 08:12:24 t4rnP1is
コマンドまたはファイル名が違います
201:login:Penguin
05/09/07 01:47:37 elRriIGS
newrole -r 2ch_r
202:login:Penguin
05/09/07 14:08:57 0G7ZHT98
RHEL4 で初めて SELinux であたふたしたんですが
FC4 使ってる人達はあたふたしないもんなんでしょうか。
このスレは非常に平穏に過ぎてるなあ。
203:login:Penguin
05/09/07 15:28:50 t3rUMEED
>>202
速攻でSEは殺すから大丈夫ですよ
204:login:Penguin
05/09/07 16:58:45 KYtN4k3E
SELinux Policy Editor 使うと楽なの?
205:login:Penguin
05/09/07 17:10:20 CRe7RktX
いいえ
206:login:Penguin
05/09/07 18:41:35 0G7ZHT98
(使えない)SEは(誰かが)頃すから
(使えるSEだけになるので)
大丈夫ですよ。
207:login:Penguin
05/09/08 00:26:59 nZgiZuQI
fedora core 1にSE Linuxを組み込んでいろいろしてたのを考えると、
fedora core 3、4のほうがめちゃ楽。
208:login:Penguin
05/09/08 10:52:58 kfF39xdr
RHEL4 で、SELinuxを簡単に設定する方法ないですかね?
209:login:Penguin
05/09/08 18:48:36 y+gQmP+M
SE Linux の設定と言うけれど
1. setenforce 0 で殺した
2. コンテキストを与えまくった
3. bool を変えまくった
4. 俺専用ポリシーを作成した
どの辺りまで実践してるんだろう。
210:login:Penguin
05/09/08 19:55:10 u+Mb3QrM
>>209
4 が簡単な方法。。。があれば。orz...
LIDS の方が簡単そうで良いけどね。
211:名無しさん@そうだ選挙に行こう
05/09/11 20:38:39 yYfCHbsY
セキュリティはいつの時代も難しいね。
SELinuxもそのうち慣れそうと思ったけど
212:login:Penguin
05/09/12 15:05:48 fUDuQO6Y
>>209
0.Fedoraインスコ時、チェックボックスをクリック(デフォ?) orz
213:login:Penguin
05/09/12 15:52:33 i50Yk/Pv
>>211
でも、全然なれない。複雑すぎ。orz
>>212
その画面で警告にするんだよね?
214:login:Penguin
05/09/13 09:25:39 VSGAA3Pf
複雑って言うか面倒だよなあ。。
xinetd から立ち上げるサービスが有ったとして
個々のサービスについて複雑にアクセス制御できるんだろうか?
とりあえずオライリーのSELinux本買ってきたけど
読み終わるまでしばらくかかりそうな薬缶。
215:login:Penguin
05/09/13 11:06:05 yr4ZJwvi
>>214
その手のは出来るよ。
厳格に運用するマシンじゃないとただ面倒なだけだね。
216:login:Penguin
05/09/13 17:36:43 /MCEH955
domain_auto_trans(inetd_t,***_exec_t,***_t)
で分けられそうじゃん
217:login:Penguin
05/09/27 00:35:06 W9xcpqf7
ターボってSELinux入っているのね。
セキュアOSもホリエモンか
218:login:Penguin
05/10/11 23:20:11 r8plUfZk
勉強会あるみたいだよ
219:login:Penguin
05/11/25 02:58:44 kxWbPbG4
セキュアOS盛り上がらないね
なぜ?
220:login:Penguin
05/11/25 06:00:43 dkeSDxLD
URLリンク(www.atmarkit.co.jp)
221:login:Penguin
05/12/15 22:15:40 Qqr6E85d
SELinuxシンポジウムに行く香具師はいないのか?
222:login:Penguin
05/12/25 13:04:17 ZucL9yrx
SELinuxも何かあるのか。。
米国家安全保障局(NSA)の国内盗聴問題で、米紙ニューヨーク・
タイムズ(電子版)は23日、盗聴などの情報収集は、複数の通信会社
の協力を得て通信網の根幹部分に直接アクセスして行われ、得られた
情報量はホワイトハウスが確認しているよりもはるかに大量である可能性
がある、と報じた。
同紙によると、NSAがアクセスしていたのは、米国の通信回線と国外
の通信回線をつなぐ「スイッチ」と呼ばれる交換機に当たる部分。当局者らは
「大規模データ採掘作戦」と呼び、電話や電子メールの発信地や送り先、
日時や通話時間などのパターンを分析。2001年の米中枢同時テロ以降は、
特にアフガニスタン絡みの通信に注意していたという。
主要通信会社の元技術担当責任者によると、複数の通信会社が通信
データを保存、テロリストの捜索を支援するため、連邦政府にデータを
提供。NSAで以前勤務していた専門家によると、当局はこの技術を利用
するため、通信会社に対し、米国を経由する国際通信量を増やすよう
働き掛けていたという。
URLリンク(www.sankei.co.jp)
223:login:Penguin
05/12/25 18:31:59 aP6RzIW/
俺がソース読んだ限りでは変な記述は見当たらなかったが、
それほど自分のスキルに自信があるわけでもないので言い切れない(笑)
224:login:Penguin
06/02/15 00:40:42 CtdekGRh
ここでいいのかわからんけれど
/home/oreore/public_html に user_u:object_r:httpd_sys_content_t
にしているわけで
これだと、FTPやSambaからアクセスできないです
ちょっとした CGI を作ろうと思ってここまできましたが
どうすればいいでしょう?
225:login:Penguin
06/02/28 02:11:12 EuS24R+g
allow ftpd_t httpd_sys_content_t:file r_file_perms;
allow samba_t httpd_sys_content_t:file r_file_perms;
226:login:Penguin
06/03/14 23:05:02 AZmBKFnA
>>225
ありがとう
うまくいきました
227:login:Penguin
06/03/14 23:39:58 /Js5s5In
>>225
それだと、ファイル生成やサブディレクトリへのアクセスができない。
allow {ftpd_t samba_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t samba_t} httpd_sys_content_t:dir create_dir_perms;
の方がより適切
228:login:Penguin
06/03/20 23:27:52 VQ85yjvJ
最小権限をどこまで最小権限にするのかの見極めが難しいな
229:login:Penguin
06/03/22 00:51:02 UqoYLMbZ
確かに
アクセスできたことで、安心してしまっていた
>227
samba_t まわりでエラーが出ます
まぁ、FTP使えればいいんですけどね
230:login:Penguin
06/03/23 11:30:16 62GALYzX
allow {ftpd_t smbd_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t smbd_t} httpd_sys_content_t:dir create_dir_perms;
を apache.te に入れたらうまくいきました
ありがとうございます
231:227
06/03/26 20:28:58 27E7HmkK
>>230
すまん、samba_tじゃなかった。
あと、CGIを動かす場合には httpd_sys_script_exec_t 付けるのを忘れないようにねん。
232:login:Penguin
06/03/29 03:00:12 HQBRg2uP
たいして勉強もしないでSELinux難しいって言うやつ多いよ
233:login:Penguin
06/03/29 08:03:39 CvH+CUAc
難しいんじゃなくて面倒くさい。
234:login:Penguin
06/03/29 08:03:40 9P02Nfg2
面倒くさい→難しい
ってことなんじゃね?
235:login:Penguin
06/03/29 08:05:07 9P02Nfg2
1秒差かよw
236:login:Penguin
06/03/29 11:44:57 UP8y3H8S
>>232
勉強しなきゃいけないから、難しい
って理屈は通りませんか?
237:login:Penguin
06/03/29 11:49:59 QcX2cin5
難しいから勉強するんじゃね?
238:login:Penguin
06/03/29 21:35:47 HQBRg2uP
iptablesとかsnortもSELinuxを同じくらい面倒ではないか
239:login:Penguin
06/03/30 01:35:10 KGSVIhop
日本語で(ry
240:login:Penguin
06/03/30 03:13:52 UbuRNvya
めずらしくレスあるな。
SELinuxとTOMOYOLinuxできればどこでも転職できます
ぐらいの売り込みすればみんなOFFにしないんじゃん
実際まだ扱える人材は少ないけど、注目度は高いんだし
241:login:Penguin
06/03/30 23:42:31 vYvTHlZE
とりあえず今からVine用にポリシーを書いて安定動作させられるだけの人材なら転職が楽だと思う
242:login:Penguin
06/03/31 03:54:04 c2Q2PtAv
今はSELinuxを扱える人材を募集している会社がまだそんなになさそう。
そのうちLinuxを扱うエンジニアには必須項目になってくると思うけどね。
243:login:Penguin
06/03/31 12:19:46 E8eNEfyd
本気か?
こんなめんどくさいもん入れるやつは出てこないよ。
244:login:Penguin
06/03/31 13:29:50 cBe4lNwk
面倒だからこそメシの種になるんじゃないのか
245:login:Penguin
06/03/31 15:37:39 UiGwZxlZ
ここにもいるであろう”SELinuxを扱える人”って、MLSやらDTEやらRBACやらのセキュリティポリシーモデルもちゃんとお勉強したの??
246:login:Penguin
06/03/31 19:33:26 E8eNEfyd
>>244
客は理解できないから発注しない。
247:login:Penguin
06/03/31 23:36:30 AEimUosf
つうか、SELinuxのポリシーを業務で *本当に* 扱えるってことは、システムの要件全体や
全プロセスの挙動、業務フローまで全部理解してるはずじゃない?
それだけのスキルがあればSELinux抜きでもメシを食えると思う
Hello Worldレベルの設定で喜んでるなら別だけど
248:login:Penguin
06/03/32 01:43:32 JDoyVCsD
targetedならできそうじゃね?
249:login:Penguin
06/04/04 23:03:35 dbz5rSMH
FedoraCore5のSELinux触った?
新しくなっててよくわからなくなってるし
250:login:Penguin
06/04/04 23:39:02 Nxd02Sjx
FedoraCore5のMCSにはバグがあるから気をつけろ。
251:login:Penguin
06/04/05 00:33:30 RyEzmfa8
アメリカの軍事機関産なんてもんは
ウィルス流し込むのと変わらん
252:login:Penguin
06/04/05 00:33:48 18+Z0sd8
MCSにバグあるのか。そもそもMCSをよく理解してないけど。。
253:250
06/04/05 00:36:27 v5+HM8wU
プロセスのカテゴリ間遷移に何の制約もかかってないので、結局どんなカテゴリを設定したところで
% runcon -l SystemLow-SystemHigh /bin/bash
一発でアクセス可能になってしまうという…。
254:login:Penguin
06/04/05 08:12:00 kamtW6c3
>>251
そうだな。
255:login:Penguin
06/04/05 12:34:02 fw77qyCk
ネットの技術なんてアメリカの軍事から産まれたの多くないか?
日本だと防衛庁がつくれば日本人エンジニアも納得って感じか?
256:login:Penguin
06/04/06 07:25:54 oviNSQ1N
それなんて富士通?
257:login:Penguin
06/04/06 11:28:37 YEiCHFN4
それってWindowsUpdateはウイルス流し込むのと変わらない
と言っているのと同じ気がするけど
258:login:Penguin
06/04/07 01:08:46 6DBpvXFo
SystemLow-SystemHigh ってなんだ?
また新しい機能はいったん?
259:250
06/04/07 15:32:43 niRmaLXj
>>258
それがMCSクオリティ
デフォルトの設定で、全てのカテゴリを包含する(全てのカテゴリに権限を有する)カテゴリに対して付けられたエイリアス
要するに、カテゴリ0〜カテゴリ255まで全部ってことだな。
/etc/selinux/targeted/setrans.conf 見れ
#
# Multi-Category Security translation table for SELinux
#
# Uncomment the following to disable translation libary
# disable=1
#
# Objects can be categorized with 0-256 categories defined by the admin.
# Objects can be in more than one category at a time.
# Categories are stored in the system as c0-c255. Users can use this
# table to translate the categories into a more meaningful output.
# Examples:
# s0:c0=CompanyConfidential
# s0:c1=PatientRecord
# s0:c2=Unclassified
# s0:c3=TopSecret
# s0:c1,c3=CompanyConfidentialRedHat
s0=
s0-s0:c0.c255=SystemLow-SystemHigh
s0:c0.c255=SystemHigh
260:login:Penguin
06/04/08 19:50:52 iy4/n+cL
Fedora Core 5 にして、現在後悔中
どうやってポリシーいじればいいんだ・・・
261:login:Penguin
06/04/08 21:02:53 st9vL7l7
FC4→FC5は別物だな
262:250
06/04/10 00:01:01 C/cakVDw
URLリンク(seibun.nosv.org)
SELinuxの71%は罠で出来ています
SELinuxの13%は情報で出来ています
SELinuxの8%は気の迷いで出来ています
SELinuxの8%は理論で出来ています
なんか笑えた。結構合ってるような気が…。
263:login:Penguin
06/04/10 11:34:49 yj7wkDKQ
>>262
ワロタ
やっぱりfedoraは危険だなぁw
264:login:Penguin
06/04/11 20:16:14 SajR50yj
>>262
exe版と結果が違うんだが。
265:login:Penguin
06/04/11 21:32:30 BhjOi48X
ってかMLSとか、MCSって必要なの?
いままでの仕組みで十分じゃね?
266:sage
06/04/11 21:40:45 GCPU4MAU
MCSはすっごく使いやすいで。
ポリシー全く編集せずに特権分割まがいのことができる。
267:login:Penguin
06/04/11 21:52:15 BhjOi48X
カテゴリーごとに分割するだけでいいってことかな。
勉強してみよう。
268:login:Penguin
06/04/16 12:51:52 3ADQtYrD
SELinuxを有効にして運用しているサイトってどれぐらいあるの?
269:login:Penguin
06/04/16 21:38:44 Nq8scThW
# ls -Z
が出来なくなりました
[root@xxxx ~]# ls -Z
Sorry, this option can only be used on a SELinux kernel.
こんなメッセージが出ます。
どこを直したら良いでしょうか?教えてください。
270:269
06/04/16 21:52:19 Nq8scThW
自己解決しました。
SELinux Policy Editor を導入したためでした。
お騒がせしてすいませんでした。
271:login:Penguin
06/04/18 21:31:04 H2PkL+Ho
ラッセルって誰ですか?
272:sage
06/04/18 21:39:30 6edQt34n
>>271
赤帽の人です
273:login:Penguin
06/04/18 22:06:21 H2PkL+Ho
なるほど。赤帽の人ですか。
日本で勉強会するために来日とかですか
274:login:Penguin
06/05/01 03:48:11 GQZu5Odn
ラッセルは何しにきたの?
275:login:Penguin
06/05/03 16:22:37 FbhDLGnH
ここの過去ログかなり参考になったのであげときます
許可されていない操作です で拒否られないようにっと><
276:login:Penguin
06/05/12 01:33:15 VCbRI40x
政府が日本版SELinuxを税金でつくるらしいね。ホントかよ
TOMOYOでいいような気もするけど
277:login:Penguin
06/05/12 16:50:02 okAGl8Ef
>>276
さすがにwinnyで情報流出のTVいっぱい流してたし、そういう流れでしょ
278:login:Penguin
06/05/13 00:50:37 LU0QM1Pb
ブッシュ大統領、NSAによる米国内の通話データ収集を擁護
URLリンク(japan.cnet.com)
こういう印象がNSAにはあるから、SELinuxを政府では使いたくなくて、
日本版をつくるってこと?
279:login:Penguin
06/05/13 14:21:03 Wq9uQuZR
>>276
>>278の話もあるけど、
そんなことするなら、SELinuxの検証した方がいい気がする。
TOMOYOでもいいけど、RBACはこれからも予定はないんだろうか。
280:login:Penguin
06/05/13 15:50:09 LU0QM1Pb
OSSなのに何か仕込まれているのかなあ?
バレたときいいわけできないじゃん
まあおエライ人の考えることだしねえ
281:login:Penguin
06/05/16 10:55:12 pcXHQYws
>>278-280
文句言う前に、とりあえず喪前らソースでも読めよと。
282:login:Penguin
06/05/17 22:36:52 1oMw1vmW
政府の役人はNSAってだけで怖いんだな
283:login:Penguin
06/05/23 22:05:47 LUJq97y9
国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表
開発を進める「次世代OS環境」は、WindowsやLinuxなどをゲストOSとして稼動
させることのできるVM(Virtual Machine)環境をイメージし、このVM環境に
セキュリティ機能を組み合わせた「セキュアVM」と呼ぶ環境の構築を目指す。
URLリンク(internet.watch.impress.co.jp)
これのこと?
284:login:Penguin
06/05/25 02:18:55 Vs8NYI9S
ゲストOSにSELinuxつかうの?
285:login:Penguin
06/05/26 14:23:37 3bfbfETV
URLリンク(enterprise.watch.impress.co.jp)
どこらへんが対応なんだかわからん。
286:login:Penguin
06/05/27 01:54:56 HE5H6UoF
ServerProtect用のポリシーがついてくるとかw
287:login:Penguin
06/06/01 23:43:14 oI4VC7+d
こんなもんに金かける前に
I18N を主導して欲しかったよ。
288:login:Penguin
06/06/02 02:11:35 uuFyJyYw
LinuxWorld行った?
289:login:Penguin
06/06/02 22:42:11 hcD+Nubh
LinuxConrefence行った?
290:login:Penguin
06/06/04 20:52:17 b5BKM+1t
LinuxWorld行けなかった。。。
SELinuxネタは多かったの?
291:login:Penguin
06/06/05 23:15:37 v5HTa0C4
>290
もう右を向いても左を向いてもSELinuxって感じだったよ。
292:login:Penguin
06/06/06 15:30:58 Y8NRdPWo
ホントかよ!
なのに導入事例はいっさい聞いたことがない。。。
293:login:Penguin
06/06/07 04:55:55 4ZlW1/UC
前や後ろを向いたら違うものが見えてそうだ。
294:login:Penguin
06/06/08 20:55:09 RikEnc/R
LIDSとAppArmorが見える
295:login:Penguin
06/06/13 13:53:08 bfyV1Zm2
SELinux Sex
AppArmor Armor
コンドーム!!
296:login:Penguin
06/06/13 22:43:07 HL9I0jGj
SEXは
「Security-Enhanced X」
のことだよね
297:login:Penguin
06/06/28 21:06:46 LVP+o8HQ
2006年度UNIX/Linuxセキュリティ実践講座開催のご案内
URLリンク(www2.tamacc.chuo-u.ac.jp)
298:login:Penguin
06/07/02 21:27:58 S6c6I++3
いまさらだが、なにこのスレタイ
"SELinux"で検索することぐらい普通考えられるだろ
299:login:Penguin
06/07/03 00:55:52 hS22+TsM
>>33
300:login:Penguin
06/07/08 11:39:20 eo7Tt5Hp
>>298
Security Enhanced Linuxはアメリカでは、略してセックスと呼ばれることが多いので、
セックスもスレタイに入れたほうがよい。
Sexurity Enhanced linuX = SEX
301:login:Penguin
06/07/08 21:12:37 dC5O/xFW
>>300
は?SE-XはSecurity Enhanced X (X Window System)のことだ。
SELinuxについて100万回勉強してから釣れ。
302:login:Penguin
06/07/09 16:44:46 rI2bNedh
なんか設定ツールができたらしいね
100万回勉強したら高待遇で転職できるかも
303:login:Penguin
06/07/11 13:01:25 1lcYrZ+i
あと99万と8600回くらいだなぁ・・・
304:login:Penguin
06/07/12 08:09:47 X5kF2WB6
なにをもって一回と数えるの?
305:login:Penguin
06/07/13 01:02:36 Qfpp8B6o
checkpolicyを実行してポリシーをビルドした回数でいいんじゃね?
306:login:Penguin
06/07/13 05:30:16 TZueCr6q
一日100回はビルドするから…1万日か。無理だw
307:login:Penguin
06/07/13 20:57:38 Qfpp8B6o
>>306
長生きしないとな。
308:login:Penguin
06/07/13 21:33:21 //G/Y/i2
並列処理しよう
309:login:Penguin
06/07/14 00:28:11 jt/F/kIF
お仕事で鯖立てている人で、ポリシー設定を1からやらなきゃいけない場合どうやってる?
1.いきなりStrictにして1からゴリゴリポリシー定義
2.targetedで起動→もとから定義されているポリシーを基に必要なポリシーを定義。不必要なポリシーは捨てる
3.ポリシーエディタでGUIマンセーと言いながらポチポチ…
4.SELinuxマンドクセ(´A`)から使わない。クラッキング?されないよ。
さぁ、どれ?
310:login:Penguin
06/07/14 08:42:38 /litWvkG
>>309
4
鯖移行の時間的猶予がなかったから
そこまで手が回らんかった
311:login:Penguin
06/07/14 09:34:59 fzToeWsD
セキュリティコンテキストの粒度が粗すぎる。
手間のわりに得られるものが小さい。
312:login:Penguin
06/07/14 11:22:31 Au5mkboI
>>309
1かな。SELinuxとポリシのバージョンにもよるけど
基本的には一つ一つつぶしていく。
おかげでシステムに変更があるたびにひぃひぃ言ってるけどねー。
>>311
というと?network周りの粒度はだめすぎだけど、どの辺が粗いの?
security contextってラベルのことで、粒度じゃないんだが…。
標準のポリシで宣言されてるsecurity contextが粒度が粗いってこと?
313:login:Penguin
06/07/15 03:54:37 o7cn6VKH
結局strict使わないとガマンできなくなってきた
targetedじゃ不満なの
314:ぴょん♂
06/07/21 18:21:36 vpOGPyfK BE:756669896-
WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく!
315:login:Penguin
06/07/26 01:51:01 E/yMm3qA
Wikipedia項目リンク
これだな
316:login:Penguin
06/07/28 20:01:21 naP4/z2F
>>314 さん、残念!
317:login:Penguin
06/07/29 01:05:53 ooO7KrP9
GFDL違反だったのね。はやく直してね
318:ぴょん♂
06/07/30 18:46:31 7OZFwZRa BE:168148962-2BP(11)
orz
ぴょん♂はめげないびょん!
みんなの努力は無駄にしないびょん!
319:login:Penguin
06/08/08 02:17:53 kKxQ5ddh
/etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)
どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。
ちなみにOSはCentOS4.3です。
320:login:Penguin
06/08/09 08:31:49 sAXh/maJ
おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん(w
321:login:Penguin
06/08/09 13:03:21 EvfB/Ijo
よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ゚Д゚)oブンブン
322:login:Penguin
06/08/10 11:49:00 BuQH6vVh
>>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況?
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな?
てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目?
323:login:Penguin
06/08/10 19:48:38 P0AUZ9Cm
>>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする?と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。
sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。
対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。
/etc/init.d/postgresqlがいいサンプルです。いじょ
324:319
06/08/11 20:54:13 FuajfgM8
>>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。
ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。
325:login:Penguin
06/08/12 01:52:44 zNJFRxv2
そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ?
326:login:Penguin
06/08/12 01:56:48 lXyPDQFa
労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。
jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。
327:login:Penguin
06/08/12 13:00:38 qaCnxs+9
まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。
守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。
328:login:Penguin
06/08/13 15:10:02 MX6/xln0
ACLでもroot権限がある限り意味なくね?
329:login:Penguin
06/08/13 15:24:08 9z7pAa4b
rootのっとられたらそりゃ終わりさ。
330:login:Penguin
06/08/14 01:06:55 n3hb6PHF
管理者権限奪取を防ぐのがSELinuxじゃないの?
企業とか個人とかの問題ではないような
331:login:Penguin
06/08/14 01:23:14 6sxGzDLo
管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。
でも全Linuxerの何%がポリシー作るところからやってるのかな?
332:322
06/08/14 13:06:55 PGuDhi6G
>>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり?
>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば?という話になるし。
(POSIX ACL。Kernel2.6以降で利用可)
>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用)
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。
まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。
333:login:Penguin
06/08/14 23:17:47 6sxGzDLo
>332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)
>人間業じゃなくて神業の領域だけど。
だよねえ。。
334:login:Penguin
06/08/14 23:45:50 n3hb6PHF
TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー
335:323
06/08/15 21:20:16 2nHPUtyi
>>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
# And start it up.
if [ -z "$user" ]; then
$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
else
$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4987日前に更新/86 KB
担当:undef