SE (security enhance ..

---

[2ch|▼Menu]

2:login:Penguin
04/06/12 05:24 dVSdHyPT
(;´Д｀)????

3:login:Penguin
04/06/12 05:28 kuCpOOFG
3ｹﾞﾄｽﾞｻﾞ

4:login:Penguin
04/06/12 05:30 dVSdHyPT
('A`)ｲﾐﾜｶﾝﾈ
要するにﾊﾟｯﾁだろ？

5:login:Penguin
04/06/12 08:05 DVwbBeRx
audit®

6:login:Penguin
04/06/12 08:26 KdegLaEA
とりあえずは乙と生暖かく


7:login:Penguin
04/06/12 08:55 43k2CMkZ
>>1
アマゾンには何氏に逝ったんだ?
URLﾘﾝｸ(www.amazon.co.jp)


8:login:Penguin
04/06/12 09:23 OIQCzfwG
>>4
は？

9:login:Penguin
04/06/16 01:09 2l++u2H+
ユーザ会のOFFまだ〜

10:login:Penguin
04/06/16 02:02 WATNKbkD
ルート晒してる鯖のハックに誰か成功した香具師はいないの？

11:login:Penguin
04/06/16 02:21 ktaupipD
成功した時点でニュースになるから安心しろ

12:login:Penguin
04/06/27 04:57 Mu8ZK00U
寂れてるな
このままじゃ廃れるぞ(w


13:login:Penguin
04/06/27 14:17 uRhKvMPw
日本で、しかも2chでどうなろうと全く影響ナシ。

14:login:Penguin
04/07/23 08:11 5GhB5HF3
てｓｔ

15:login:Penguin
04/07/23 18:54 HcRYODgK
URLﾘﾝｸ(www.nsa.gov)
↑SELinux
kernel-2.4.22でも2.6-based SELinuxインストールしちゃって
大丈夫なんでしょうか。

16:login:Penguin
04/07/30 19:48 9E7CH+IX
なぜにSEスレ盛り上がらないのだ

17:login:Penguin
04/07/30 20:24 Kfi83cOG
>16
多数のユーザー、管理者を抱えるサーバーの運用をしてる人が2chには少ないんだろう。

18:login:Penguin
04/07/31 01:44 7vS4wCE5
導入はしてみたいんだけど、億劫でなぁ

19:login:Penguin
04/08/17 07:49 BZyf7JAd
SELinuxは他のPC-UNIXに対するかなりの利点となるはずなのにもったいない。

20:login:Penguin
04/08/17 15:55 8obRHxyC
伸びねぇなあ

21:login:Penguin
04/08/17 18:13 UeldjsDo
普通、盛り上げたい人が自演で書き込んだりするもんなんだけどねえ。
SELinuxに通じた人は、そういう2chのテクニックがないのかな。

22:login:Penguin
04/08/17 18:18 jPdB50uI
SEXについて教えてｴﾛｲ人と言ってみるw

23:login:Penguin
04/08/17 19:37 ROSIbulh
新Debianがセキュリティ強化されるようだが
URLﾘﾝｸ(japan.linux.com)


それが"フロッピーやCDは自動マウントされない"
程度なのもアホらしいので、DebianユーザにseLinuxを！(ドキュメントの整備を！)

24:login:Penguin
04/08/18 00:28 BNTBJkHg
SELinux徹底ガイド
URLﾘﾝｸ(coin.nikkeibp.co.jp)
って良書ですか？

25:login:Penguin
04/08/21 00:46 S3rNV93e
Trusted Solaris とか SE Linux みたいな「セキュアOS」はまず運用ポリシー
ありきなのでドキュメント云々の前に個人レベルとか中小規模では初期導入や
運用のコストにメリットがつり合わない。専門スタッフを自前で用意できる
大規模な組織で無いかぎり普通はコンサルに頼んで導入するもんだと思うよ。

ワークステーションレベルでのセキュリティは >>23 あたりの話で
十分だし、これ以上のことやられてもうっとうしいだけ。

26:login:Penguin
04/08/23 09:23 A0A5mOCf
AGEますね

27:login:Penguin
04/09/01 00:00 +68aKaPB
SELinuxを使うとSEが儲かりそうだなー

設定がマンドクサげだし。

28:login:Penguin
04/09/01 00:38 AYBgVT+Y
URLﾘﾝｸ(www.ussg.iu.edu)

だそうです

29:login:Penguin
04/09/01 19:08 +68aKaPB
>>28
訳して。

30:login:Penguin
04/09/01 20:40 +ssOxYD1
SE Linuxって略するとSExだね。

31:login:Penguin
04/09/02 23:07 O3zW+HSa
競糞

32:login:Penguin
04/09/29 10:25:07 MInZSJ7n
使ってる奴はおらんかー

33:login:Penguin
04/10/05 18:41:16 7MqmP1jb
全てはこの検索することをまるで考えていないスレタイが悪い。
Linux板はセンスの欠片も感じられないスレばかり。

34:login:Penguin
04/10/08 18:41:27 4cEZ7X/u
もまいら一般人にはノーマルカーネルで十分

35:login:Penguin
04/10/08 18:43:17 biin1wBR
ＳヨＬｉｎｕｘ

36:login:Penguin
04/10/12 22:36:04 X1HIaQwU
ながながF通でSEやってるけどTrusted Solaris使ってるの見たことない。
なんかとんでもなくマンドクセらしいんじゃ。雨でもさっぱり
売れてないそうなんじゃ。
ましてやLinuxでそんなたいそうなもんなんか誰が使うんだ？

37:login:Penguin
04/10/14 02:36:15 TArUvgso
SELinuxもポリシーが穴なら、仏作って魂入れず。

38:login:Penguin
04/10/14 06:25:26 hxG9Eraz
Fedora Core 3からデフォルトでSELinux有効になるから、
そうなるとそれなりに利用者も増えると思うよ。
気づいてて使ってるかどうかは知らないけどね。

39:login:Penguin
04/10/14 19:25:47 D7VS4Ybx
そーなると、くだ質にぎやかな悪寒

40:login:Penguin
04/10/21 15:05:49 apkmihgO
予想通り、人居ないですね。
某所で分析されてたんですが、この分析結果は、大体いい線行ってるんでしょうかね？。
少々古いですが．．．
URLﾘﾝｸ(www.ipa.go.jp)

SELinux B1 相当
TrustedBSD B1 相当
OpenBSD C1 相当
PitBull Foundation B1 相当 （ITSEC E3 認定)
PitBull LX C2 相当
hp virtualvault B3 相当
hp secure OS software for Linux C2 相当
Openwall C1 相当
Trusted Solaris B1 相当 （EAL4 に認定)
LOMAC C2 相当
LIDS C2 相当
Medusa DS9 B1 相当
RSBAC B1 相当

41:login:Penguin
04/11/06 22:23:59 hiCn14Q6
URLﾘﾝｸ(www.selinux.gr.jp)
--- SELinux BOF 「SELinuxナイト」開催要領--
主催：日本SELinuxユーザ会準備委員会　日経Linux
日時：11月30日（火）
場所：青山スパイラルホール
地図: URLﾘﾝｸ(ac.nikkeibp.co.jp)
時間：18:00〜20:00
参加費：無料

プログラム(仮)
● 18:00-18:05
- 主催者から一言
> 日本SELinuxユーザ会準備委員会
> 日経Linux
● 18:05-19:05セッション１
- SELinuxの最新動向(仮) 日本SELinuxユーザ会準備委員会 中村雄一(代理：日立ソフト　才所秀明）
- SELinuxカーネルハッキング(仮) NEC　海外浩平
- 商用セキュアOSとSELinux(仮) 日本高信頼システム　田口裕也
● 19:10-19:46 セッション2
- なぜSELinuxの設定はむずかしいのか（仮） 日本SELinuxユーザ会準備委員会 女部田武史
- 現場からみたSELinux(仮) 日本オープンソース推進機構　小島浩之
● 19:46-20:00 フリーディスカッション

42:login:Penguin
04/11/06 23:17:32 F+Nri/5I
>>41
講演担当者のジエンキター

43:login:Penguin
04/11/07 22:35:58 C19rajt1
唐揚よりはまし

44:login:Penguin
04/11/08 01:10:49 7w+L++m6
試しにgentooで使ってみてるけど、設定面倒だね。
まだ、enforceなんて出来ない。

gentoo特有(多分)の罠として、
udev使ってると、/devがramfsなのではまる。

45:login:Penguin
04/11/12 01:53:21 8mQ+1kTu
これ有効にしたら重くなる？

46:login:Penguin
04/11/12 21:55:55 DfpPyEmN
>>45
あまり気にならないけど。

FC3でちゃんとSELinuxの機能使う人はどれぐらいいるんだろう。

47:login:Penguin
04/11/16 05:01:48 JE4z9irv
>>46
インストールのとき速攻でオフにしちゃった
メジャーなディストリで標準搭載されたのはFedoraが初めてなので
急速にノウハウが蓄積されていくかもしれんし、RedHatあたりがGtk+使って
GUI設定ツールを書いてくれる可能性もある。
「よく分からない場合は切っとけ」で済まされる場合のほうが多そうだが...


48:login:Penguin
04/11/16 05:18:42 JE4z9irv
Windowsでいうところのパーソナルファイアウォール相当のこと
(netfilter/iptablesでやるパケットフィルタだけじゃなくて、アプリレベルでの
細かい通信制御)をSELinuxでできんかなと妄想してる。
もちろん機能には十分すぎるんだが、それを簡単に設定するための
フロントエンドをどう作るかが問題。

49:login:Penguin
04/11/16 23:04:54 r5Lrk2wd
>>48
人気でそうだ。つーか俺も欲しい。

50:login:Penguin
04/11/17 00:25:22 DGIX6dqn
>>48
デーモンの動いてるドメインとnode/portを対応させれば可能。
但し、ポリシーコンパイラがしょぼいので、書くのは大変…。

おまけにnode/port関連の性能ボトルネックがひどいんだよなぁ…。

51:login:Penguin
04/11/19 16:40:48 zSRgmM4L
初めて触ってみたが、結構概念が難しい。
SELinux を使いこなせるようになる道のりは遠い感じ。
で、こんなに難しいと普通のSEじゃ手が出ないので
余り普及しない(または使われない)悪寒。

52:login:Penguin
04/11/20 03:01:29 z6ctB+VG
デフォルト有効なのかよ！
これから勉強がたいへんだ

53:login:Penguin
04/11/20 06:57:05 CbAZaw0K
概念自体はそれほど難しくないんじゃない？
設定がたまらなく面倒だけど。

FC3ってデフォルトenforceモードなの？

54:login:Penguin
04/11/20 17:50:17 7hmqMeo8
これ、テスト用のマシンを用意して勉強しないといけないほど難しい？

55:login:Penguin
04/11/20 17:55:40 /C8/c61k
FC3についてのちょっとした紹介
URLﾘﾝｸ(www.itmedia.co.jp)

56:login:Penguin
04/11/20 22:46:41 SVVab55G
>>54
デフォルト有効と言ってもTargetポリシーだし、
自分が挙動に詳しいアプリケーションから設定を追加していけば
いいんではないでしょうか？

本当はポリシーコンパイラの記述能力が低いのが悪いと思うんだけどね。

57:login:Penguin
04/11/21 00:23:00 EedBRFSc
最低限必要なサービスだけにしておかないと、定義が死ぬほど面倒くさい。

FC3がどんなかわからないけど、普通のサーバなら、
危険性があるやつだけ設定するって言うのは良いかもね。

58:login:Penguin
04/11/24 21:51:12 GD/xCPVc
>>51
SEがつかえないSE Linux
語呂合わせにもならねぇ(w

59:login:Penguin
04/11/24 23:52:21 2XCOPo7B
これ使えないと負け組みですか？NSAに勝ちたいです。

60:login:Penguin
04/11/25 00:22:32 sSYcT8WT
>>59
使うと自動的にNSAに通報します。

61:login:Penguin
04/11/25 20:18:12 lUPgfwFJ
Debian sidにselinux-policy-defaultをインストールしようとしています。
しかし以下のようなエラーメッセージが出ます。何かヒントのようなものでもありますか？
ちなみにカーネルはselinux=1でブートし、その他の必要なパッケージは
coker.com.auから落として全てインストールしてあります。

# dpkg -D=3333 --configure selinux-policy-default
Setting up selinux-policy-default (1.16-1) ...
/usr/bin/checkpolicy: loading policy configuration from policy.conf
domains/program/cups.te:220:ERROR 'unknown type rpm_var_lib_t' at token ';' on line 100328:
allow cupsd_config_t rpm_var_lib_t:file { getattr read };
#line 220
/usr/bin/checkpolicy: error(s) encountered while parsing configuration
make: *** [/etc/selinux/policy/policy.18] Error 1
run-parts: /etc/dpkg/postinst.d/selinux exited with return code 2
"/bin/run-parts --arg=selinux-policy-default /etc/dpkg/postinst.d" failed: 256
dpkg: error processing selinux-policy-default (--configure):
1Error running trigger postinst: No such file or directory
Errors were encountered while processing:

62:login:Penguin
04/11/25 20:40:38 lUPgfwFJ
えっと、Debianなのにrpmなのが不味いのかと思って、
#grep -n rpm /etc/selinux/src/domains/program/cups.te
174:ifdef(`rpm.te', `
175:allow cupsd_config_t rpm_var_lib_t:dir { getattr search };
176:allow cupsd_config_t rpm_var_lib_t:file { getattr read };
213:allow cupsd_config_t rpm_var_lib_t:file { getattr read };

この213行目をコメントアウトしたら上手くいったようです。
# make -s -C /etc/selinux/src install
/usr/bin/checkpolicy: loading policy configuration from policy.conf
security: 4 users, 6 roles, 1431 types, 27 bools
security: 53 classes, 207684 rules
/usr/bin/checkpolicy: policy configuration loaded
/usr/bin/checkpolicy: writing binary representation (version 18) to /etc/selinux/policy/policy.18
Building file_contexts ...
Validating file_contexts ...

63:login:Penguin
04/11/25 20:48:57 lUPgfwFJ
と思ったらエラーが出てた。

/usr/sbin/load_policy: Warning! Error while getting boolean names: Success
/usr/sbin/load_policy: security_load_policy failed
make: *** [tmp/load] Error 3

にも関わらずselinux-policy-default自体のセットアップは終わったっぽい。
よく分からんね。

64:login:Penguin
04/11/25 20:51:03 MPLFWDrj
対応してる鳥使えばいいのに。

65:login:Penguin
04/11/25 22:12:04 hS75tvZu
興味あるのでがんばって下さい

66:login:Penguin
04/11/30 21:48:54 DNV7bnzT
>>41

情報　Thanx!
ナイトの会、行ってきたよ。
現状はまだまだ発展途上って感じだね。

ひとつ印象に残ったのは、ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり、商用ソフトだと
最悪、訴えられる可能性もあるらしいとの事。事実、過去そうゆう事例を憂慮した意見が内部であったらしい。
現状では、どこが最終的な責任をとるのだろうか？　JOSAO？

会場ではバイキング形式の軽食があった。案内に書いてないのはタダ飯食う香具師が来るのを避ける為
だろうか？　一言書いて欲しかったよ。

行く前に大盛りスパゲッティー食った俺は　ヽ(｀Д´)ノ




67:login:Penguin
04/11/30 22:54:20 Rci6pBJ3
>ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
>無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり

strace使うことがなんでリバースエンジニアリングなの？

68:login:Penguin
04/11/30 23:06:05 rGSC9TyP
straceかけなくても、ろぐにでるしね。

69:login:Penguin
04/12/01 01:18:09 kwnvX1mj
strace　　リバースエンジニアリング　でググれ。


70:login:Penguin
04/12/01 22:57:27 buBI+dND
>>66
ま、「食事」が目的じゃなかったしw
でもまぁ、あの時間帯設定だったら、みんなおなかすくだろうなとは思ってたけど。
ほぼ初心者でお話を聞かせて頂いていたのですが、ポリシー作るのってかなり難しいのね。
Hello World! であんなに手間掛かるとはw
使用しているライブラリの挙動すべてを把握しなければならないのは辛いね。
SELinuxの必要性はある（というか必須）、
でもそれを使うのは困難と。。。まだまだこれから、なのかなぁ。

71:login:Penguin
04/12/01 23:00:52 buBI+dND
ちなみに、Windows をセキュアOSにする製品もあるような話があった気がするけど、
ライセンス料以外で考えた場合でも、
WindowsベースのセキュアOS と SELinux だったら、SELinux の方に軍配？

72:login:Penguin
04/12/02 03:00:25 aSrOsSrn
>>71
オープンソースだからね。
究極的にWindowsは、M$の言う事を信じなければならない。
事象があくまでプログラムのバグだからな…。


73:login:Penguin
04/12/03 00:48:59 +ogIR13D
>>72
オープンソースだから安全ってわけでもないよね。
逆にソースが分かっているんだから攻撃箇所も分かるわけだし。
しかも、脆弱性とか見つかった時の修正までの時間ってWinの方が早いらしいし。
アタックやハッキングがLinuxの方がWinよりも少ないわけでもないから、
手放しで SELinux の方がいいのかどうか疑問。
WinでもLinuxでもハッキングされた時の被害がセキュアOSにより最小限になるのであれば、
SELinuxの優位性は価格だけなのだろうか？？？

74:login:Penguin
04/12/03 01:09:51 B+NBrjFL
モジラ組みもIISなんか使ってるからあんなことに・・・

75:login:Penguin
04/12/05 03:25:16 9/C1GsDJ
書き込み少ないね。セキュアOSスレとかだったらもっと集まるのかな？

76:login:Penguin
04/12/05 12:56:34 ftQG/iV+
>>75
普通のサーバに使うのは面倒くさすぎるからね。
他のってLIDSとかに限らず、Trusted Solarisとか？

77:login:Penguin
04/12/05 15:19:45 Xmb8f5R0
使ってるアプリケーションの動作を大体のところ分っているのなら、
そんなに難しくも面倒でもないのでは？

78:login:Penguin
04/12/06 17:54:39 JtISNBh9
セキュアＯＳカンファレンス乙

79:login:Penguin
04/12/21 01:00:45 d+cqoNK8
allow gikonavi_t 2ch_file_t:file r_file_perms;

80:login:Penguin
04/12/21 23:39:51 VGSNXL53
>>79
実行できないじゃん。

81:login:Penguin
04/12/31 08:56:30 1dLBL8OZ
SE Linuxを有効にしてるとapacheにてWebDAVを利用する際にある小細工をしないと動かないのがつらい。
デフォでONだし、調べてみたら結構いい感じだからね〜

他に、不具合が出るものがあったら教えてくれ。
ちなみに、うんこvsftpdは問題ない。

82:login:Penguin
04/12/31 10:44:55 UohtONFB
>>81
vsftpdは平気なんですか。
認証とか平気ですか？shadowとかアクセスさせたくないんだけど。

83:login:Penguin
05/01/14 03:40:02 4A7mLCNI
普段リモートから管理するには、適当なユーザを作って
そのユーザにsysadm_rになれるようにして、
sysadm_rにしてからrootになれば良い?

84:login:Penguin
05/01/15 03:20:11 eumkuR6c
>>83
適当なユーザでログインして、suでrootになって、newroleでsysadm_rになるのが正解
レガシーUNIXの特権ユーザだとか一般ユーザという考え方は、SELinuxの世界には存在
しないものと心得られよ。

85:login:Penguin
05/01/19 12:52:53 r7Yfu5sx
selinux.jp死にっぱなし？

86:login:Penguin
05/01/19 15:36:25 o3yuXtEs
>>85
復活しても俺が速攻で落としてるからな。

87:login:Penguin
05/01/19 22:53:28 j8qcBS41
>>84
suがsetuidされてるから怒られるのね。
だからsysadm_rにしてからsuしてた。

rootじゃないと、普通のチェック(SELinuxの前)ではじかれるから、
rootになるのは必須なんだよね。

suを許可するのが筋なのかな。

88:SELinux
05/01/26 19:39:41 sf6NWb9/
SELinuxでshadowのファイルの権限を有効にしようとして、make reloadコマンド
を打つと、エラーが出てしまいます。
どうしてですか？

89:login:Penguin
05/01/26 20:25:41 SzWDCttT
FreeBSDからFedora Core3に乗り換えたけど
SELinux周りで死ぬほど苦しんでます。

詳しいページがあったら紹介してください。

90:login:Penguin
05/01/26 23:00:06 ZRGojEQb
>>89
sudo echo 0 > /selinux/enforce

91:login:Penguin
05/01/27 01:48:36 Nw7Qmux/
assert.teだね

92:SELinux
05/01/27 13:03:42 f6pf3IHI
>>90
一般ユーザで行うんですか？

93:89
05/01/27 16:01:12 zhnD52o8
>>90
まぁ、それも一つの解ではあるのだけど(笑)

Perlで書かれたスクリプトを実行したら
実行されているようなんだけど（ファイル出力処理で、出力している）
print してる部分がコンソールに表示されない
./test.cgi > hoge
だと、hogeファイルにprintしてる部分が出てる
SELinuxを無効にしたら、コンソールに表示される

-rwxr-xr-x oresama oresama system_u:object_r:httpd_user_content_t test.cgi

うーむ・・・

94:login:Penguin
05/01/28 09:17:29 B7+DaWB6
>>93
httpd_user_script_exec_t

95:login:Penguin
05/01/28 09:28:55 I4hBi6uy
日立ソフトがIPAから委託されて開発した
SELinux/AID使ってる人います？

Turboは認定トレーニングはじめるみたいだけどTurboLinux10の
製品解説みると売りにしてるから多分これが前提の講習だよね。
URLﾘﾝｸ(www.turbolinux.co.jp)

96:login:Penguin
05/02/01 03:23:15 R7wOcKfY
>>66

> 行く前に大盛りスパゲッティー食った俺は ヽ(｀Д´)ノ

いつでもハングリーでいきましょう

97:login:Penguin
05/02/01 03:24:56 R7wOcKfY
2.4.28/29にbackportしてSELinuxを運用している方おりますか？


98:login:Penguin
05/02/02 01:40:56 l83/Vdo8
SELinux運用してる例が少なそう

99:login:Penguin
05/02/02 03:29:08 S9tP/kMN
>1
間抜けなタイトルをつけたもんだな、間抜け。
このスレは、「selinux」で検索してもタイトルがひっかからない。
こんな間抜けなタイトルをつける底抜けにでも
FC3のはそれなりに使えてるみたいだ。

100:login:Penguin
05/02/02 09:34:24 xwsG9abH
>>99
Linux板のアホウはスレタイ一つまともに付けられないんです。
今に始まったことではありません。

101:login:Penguin
05/02/02 22:51:19 PrTo3fxY
これって、IPSとどう違うの？

102:login:Penguin
05/02/02 23:14:00 A0UaOl6X
>>1読めば分かるだろ？

103:login:Penguin
05/02/05 02:27:23 +zvHTRUn
流行りそうな予感


104:login:Penguin
05/02/05 05:45:06 xJZHVJAK
流行るかね。
まともに設定出来れば、一技能として認められるかな。

105:login:Penguin
05/02/05 10:38:50 +zvHTRUn
パッケージ選択数の多いディストリビューションは大変そう。


106:login:Penguin
05/02/09 02:51:55 XF0/Pgz5
検索しにくい。

107:login:Penguin
05/02/09 23:22:38 JqljQMs1
TURBOもだすんだっけ？

108:login:Penguin
05/02/11 00:49:53 Eo16XC6i
ターボはSELinuxができるのか
けっこう構築してノウハウたまったから採用したのかな


109:login:Penguin
05/02/20 23:03:24 +IFTBw6N
ターボは親会社が大変だな。
ちーそ

110:login:Penguin
05/02/21 22:04:22 ArwecXmM
このスレッド、書き込みが少なくてさみしいね。
SELinuxを使っている人はまだまだ限られているのかな？
デスクトップ用としてLinuxを使っている僕には無縁なものなのでしょうか？

111:login:Penguin
05/02/21 22:11:12 0hX35ns2
SELinuxを芹菜と呼ぼう

112:login:Penguin
05/02/23 05:33:48 CBKPp7c2
というか、こんなめんどくさいもの、流行らそうとしていること自体が悪

J●SA●のSELinux委員会の本人達がそう思っているんだから間違いない。
本家のNSA絡みの人たちもそう思っているんだから間違いない。

けど標準だ。やらなきゃ...orz

113:login:Penguin
05/02/25 00:19:30 f2uiMCq0
SELinux委員会なるものがあるのか！

114:login:Penguin
05/02/25 00:38:03 8B+HEoS8
Fedora coreを使っている人は結構簡単に使えちゃうような気が
するんだけど、実際どう？
じぶんFC２なんだけど、とりあえず有効にしてみた。
これから設定ツールをインストールして手探りでいろいろ試してみるつもり。

115:login:Penguin
05/02/25 08:28:52 hpEzNVNo
>>113
とりあえずこっちでもいいんじゃないか
URLﾘﾝｸ(www.37linux.jp)
会長ブログもあるぞ

116:login:Penguin
05/03/01 00:10:42 2S1ezsEn
>>115
これもターボがからんでいるとは


117:login:Penguin
05/03/01 08:25:58 nT2TU4zb
会長がおともだちのＰＣにリナックスを入れてくれるらしいぞ。
ﾊｧﾊｧ

118:login:Penguin
05/03/02 05:03:55 +4E0glIi
会長！ベットの中でSELinuxについて教えてください！

119:login:Penguin
05/03/10 17:17:53 yxaV5U7b
fcファイルを編集のち以下のようにコマンドを実行したのですが反映されて
いないらしく、httpd.confのログファイルの出力先を変更した場合にhttpdを
起動する事が出来ません。file_contextsには反映されているようです。
更に何かする必要があるのだと思うのですがどうしたら良いのでしょうか？。

fcファイルに追加
/abc/public_html(/.*)? system_u:object_r:httpd_sys_content_t

make reload
load_policy policy.18


120:login:Penguin
05/03/11 00:53:58 RaDjPhri
setfiles

121:login:Penguin
05/03/11 03:55:33 NJcMHUX0
>>119
変更範囲がわかってるなら、setfilesが速いけど、
make relabel っていうのが出来るはず。
あと、ログになんか出るんじゃない？

122:119
05/03/11 10:22:41 4gTW0GFK
>>120,121
messagesに出力されているログですがこれの事でしょうか。
Mar 11 09:39:11 hoge kernel: audit(1110501551.417:0): avc: denied { search } for pid=3664 exe=/usr/sbin/httpd
name=server dev=hda2ino=7733249 scontext=root:system_r:httpd_t tcontext=system_u:object_r:file_t tclass=dir

make relabelでは全てのポリシーを書き換えているので時間がかかるという考え方で良いのでしょうか。
setfilesでは変更したポリシーだけを書き換える事が出来るの早いのですね。setfiles単独の使い方が良くわかって
いないので後々、勉強して行きたいと考えております。

make reload
make relabel
/usr/sbin/load_policy /etc/selinux/targeted/policy/policy.18

コマンドの順番を変えてみたりしているのですがそれでもhttpd.confのパスを変更するとhttpdを起動出来なくなり、
上記と同等なログがメッセージに出力されます。
また、/etc/selinux/targeted/contexts/files/file_contextsには変更箇所が出力されています。

何が原因なのでしょうか？

123:login:Penguin
05/03/11 15:24:06 k3CAiL8Z
>>122
これも追加してみて
/abc system_u:object_r:httpd_sys_content_t

124:122
05/03/11 16:18:17 4gTW0GFK
>>123
/abc system_u:object_r:httpd_sys_content_tを追加する事で起動に成功しました。
他のファイルで通常の/から始まるディレクトリへのアクセスが許可されていて、
/からの新規ディレクトリを作成した場合には新たにルールを追加しなければ
ならないという事なのですね。

ありがとうございました。

125:122
05/03/11 17:12:41 4gTW0GFK
/abc
/htmlsystem_u:object_r:httpd_sys_content_t
/logsystem_u:object_r:httpd_log_t

という複数のサブディレクトリを用意した場合にはどうするべきなのでしょうか。

/abcsystem_u:object_r:httpd_sys_content_t
/abcsystem_u:object_r:httpd_log_t

では、make reload時にエラーとなります。

teファイルを覗いて見て、httpd_tを設定したら良さそうなので設定してみたら
make reloadは通ったのですがこういう設定に問題はないのでしょうか？


126:login:Penguin
05/03/11 17:14:29 k3CAiL8Z
>>124
ちなみに、/abc を system_u:object_r:httpd_sys_content_t にできない場合は
fcじゃなくてteファイルに、こんなのを追加してみるのもいいかも
--
allow httpd_t home_root_t:dir search;
--
home_root_t は"ls -dZ /abc"などで確認して適宜書き換えてください。
間違っても root_t とかにはしないほうがいいと思うけどね。

127:login:Penguin
05/03/11 17:18:32 k3CAiL8Z
>>125
/abc の後ろにスペース入れてる？

128:122
05/03/11 17:50:44 4gTW0GFK
>>　k3CAiL8Zさん
httpd_tはダメでした。relabelで弾かれてしまいました。
teファイルを変更しない場合には、read writeが許可されている
httpd_sys_content_tを使用するのが良いみたいでした。

teファイルの方は未だ変更の仕方が良くわかりませんが、
allow httpd_abcd home_root_t:dir search;
とする事で httpd_abcd をディレクトリに割り振り出来るという
事なのではないかと見ています。書き込んだ後に変更を加えて
確かめてみたいと想います。

/abcの後に空白はあります。同じディレクトリに複数の設定を
行うのは無理のようでした。

129:login:Penguin
05/03/11 18:13:28 k3CAiL8Z
>>128
勘違いしてるみたいだけど、やりたいことはfcに３行入れれば多分できるでしょう。
*.fc
--
/abc system_u:object_r:httpd_sys_content_t
/abc/html(/.*)? system_u:object_r:httpd_sys_content_t
/abc/log system_u:object_r:httpd_log_t
--

>>126 は
/abc をApache以外にも使うならteいじる必要あるかもしれないけど
という意味なので無視しといてください。

130:128
05/03/11 18:54:14 4gTW0GFK
>>129
あ、大丈夫です^^。fcの方には129と同じようにしてあります。

teの方はhttpd_tにはroot権限？とディレクトリの検索を許可します。
という意味に見えます。実際にはhome_root_tにも設定があり、
継承しているという事になるのでしょうか。根本的な所まで
追いかけないと見えてこないものが沢山ありそうです。



131:login:Penguin
05/03/11 19:35:00 k3CAiL8Z
>>130
Apacheでしか使わないならteいじんなくていいよ。
それ以外でも使うなら、"ls -aZ /abc"の結果でも教えて。

132:login:Penguin
05/03/13 04:29:00 Smjmhscy
SELinuxに詳しい人多いんだね。
オレも勉強しなくては



133:login:Penguin
05/03/18 22:12:04 cnaFhVSF
SELinuxで使用出来ない文字、または誤動作の要因となる文字などはあるのでしょうか？。
httpdにおいて同一ディレクトリ同一所有権パーミッションでありながら表示できる画像と
表示できない画像が存在します。SELinuxを無効にすると正しく表示されるのでSELinux
が関係しているのは間違いないと想われます。

表示できないケースでは以下のようになります。
You don't have permission to access　path on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.


134:login:Penguin
05/03/18 22:19:21 MrN6Qq1S
>>133
表示できるファイルと、そうでないファイルの"ls -Z"の結果は？
アクセスできなかったときに"/var/log/messages"になんて出る？
最低限これくらい書いてくれないと答えようもない

135:133
05/03/18 22:28:49 cnaFhVSF
>>134
申し訳ありません；。
$ ls -Z　ではディレクトリ内の全てのファイルが httpd_sys_content_t となっております。
アクセス出来なかったファイルの内、１つのファイルをha_b_012.jpg > ha.jpgに変更する
事でアクセスが可能となりました。そこで他のファイルでも_と数字を除きアクセスして
みましたが、こちらの方はアクセス出来ませんでした。

$ cat /var/log/messages
kernel: audit(1111151779.769:0): avc: denied { getattr } for pid=10813 exe=/usr/sbin/httpd
path=path dev=hda2 ino=7422115 scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file


136:133
05/03/18 23:03:37 cnaFhVSF
RHELのクローンですから当然、RHELにも同様の問題があると想われます。
つまり、SELinuxって予想以上に使われてないのですね。
SELinuxが返って穴にならなければ良いのですが；。

137:login:Penguin
05/03/18 23:12:36 SQmxFIAD
穴が開いてるのはおまえの脳味噌だろ。
運用出来るだけの知恵が無いんだからSELinuxはdisableにして正解だったな。

138:133
05/03/18 23:53:35 cnaFhVSF
>>137
好き勝手言って貰っても構いませんが何処が問題なのか指摘してください
.fcはphp(/.*)としてあり、問題となっているディレクトリはphp/abc/def/にあります

期待上げ！

139:133
05/03/18 23:59:59 cnaFhVSF
>>137
２行しか書けないFedraユーザーみたいだね
無理言ってすまない

140:login:Penguin
05/03/19 00:33:57 AdJo+AG7
アンチFedoraは例外無く池沼ばかりだなw

141:133
05/03/19 00:53:30 4vL6hAaV
>>140
うちにFedraもあるよ
ディストリを差別する気はありませんが特定の個人なら差別しても許せるかもね^^

142:login:Penguin
05/03/19 01:28:02 ilrOwGMs
言われたものだけじゃなくて可能性ありそうな設定全部書いてみれば？

143:login:Penguin
05/03/19 06:41:31 JM3a88Pg
audit2allow

144:133
05/03/19 09:26:07 4vL6hAaV
いろいろと試行錯誤し考えてみた結果、原因となる幾つかの要因が見えました。
httpdポリシーにおける設定変更自体には全く問題ありませんでしたが結果と
してアクセス出来るファイルとそうでないファイルが存在したのは間違い
ありません。対処方法もいくつか考えられますが実際にどれくらいのファイルが
影響を受けるのか現状のまま確かめて見たいと考えております。

ただ、総合的にSELinuxの役割として予想外の動作をしていたのは間違いありません。

145:login:Penguin
05/03/19 12:40:19 QodH++gB
>>135
単純に
tcontext=user_u:object_r:user_home_t tclass=file
だからじゃないの？

146:login:Penguin
05/03/19 23:26:26 YRe93jvD
home_tを読ませるように設定するか、
ファイルをきちんとラベル付けしなけりゃ問題があるのは
当たり前やろ。
DACで言うところの600root:rootのファイルが通常ユーザーでは
読めませんとかいう質問のようなもんだろ。

147:133
05/03/20 09:46:54 1Ea4E4Vw
以下のように同じディレクトリにあるファイルで差が出るのはおかしくはないのですか？。
home_tだからというなら理由なら、ほぼ同じ条件にある他のファイルが読めるというのは
納得が行きません。www以下にあるファイルは全てhttpd_sys_content_tが適応されている
はずであり、読めないのであれば全て読めないのが本来あるべき動作のはずです。
home_tだから読めないという事であるならば、Ｚで表示されている内容と実際の内容が
異なるという事だと想われますが如何でしょうか？。

www(/.*)?

ls -aZ
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha_b_012.jpg
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha.jpg

ls
ha_b_012.jpg　←　読めない
ha.jpg　←　読める



148:login:Penguin
05/03/20 11:34:48 TBDKXLZq
だからおかしいのはオマエの脳。脳に障害があるのにサーバ構築なんかムリだって。

149:login:Penguin
05/03/20 13:42:54 1Ea4E4Vw
>>148
初期設定Fedra君、自分のスレにお帰りなされ^^。

150:login:Penguin
05/03/20 13:58:48 TBDKXLZq
脳に障害がある奴は常にアンチFedoraであるという法則w

151:login:Penguin
05/03/20 14:11:10 TBDKXLZq
>>149
いいかい、君はアスペルガー症候群だ。
既に何度かそう診断された事があるだろ？
障害を持つ身で努力しようとする態度は立派だけどはっきり言って迷惑だから帰ってくれ。
警察とか消防隊員とか、障害者には出来ない仕事があるんだよ。技術者もその１つ。
社会に貢献したければ君に出来る仕事は他にいくらでもあるはずだ。
自分の身の丈に見合う事をやりなさい。

152:login:Penguin
05/03/20 16:18:35 1Ea4E4Vw
>>151
>FC4T1のgijで動いてるTomcat、abでちょっとベンチ取ろうとしただけで落ちる。
FC4の実験、お疲れさま^^
それから「アンチFedora」というフレーズを少しは変えようよ
せっかくIDが変わっているのだし、もう少し効果的な発言をしようね
次の面白い発言に期待していますよん

期待あげ！

153:login:Penguin
05/03/20 20:53:34 ki45pfhI
home_tのアトリビュートが取れないっていっているんだから、
/var/log/messagesの見てるところが違うんじゃないの。
まずパーミッシブにしてすべて動かしてみて、
引っかかる権限に対するルールを全て書き加えていけばいいじゃん。
（tail　-fしながら問題のある所をpermissiveでどういう
ログがでるか観察。）
SELinuxそのもののバグならバグの報告する。

154:133
05/03/20 21:21:46 1Ea4E4Vw
>>153
お返事ありがとうございます。
アクセスしているパスが異なる、また勘違いなどは第一に疑いましたが、full_pathの部分は
確かに表示されないファイルのフルパスになっております。また、messagesファイルを
監視しても同様の結果としかなりませんでした。
ただアクセスさせる為なら闇雲にルールの追加を行えば良いのですが、それではSELinuxの
稼働意味が損なわれてしまいます。
また何度か検証した結果、この事例が発生する行程が判明致しましたが何分、TBDKXLZqさん
がおっしゃるように私は脳を病んでいる事もあり、またＰＣ歴も20年と浅いので妄想として
心に閉まっておく事に致します。

ご協力してくださった皆様、ご迷惑をおかけしました。

kernel: audit(1111188853.244:0): avc: denied { getattr } for pid=2555 exe=/usr/sbin/httpd path=full_path dev=hda2
ino=7422115 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file


155:login:Penguin
05/03/20 21:39:44 ki45pfhI
SELinuxユーザー会のメーリングリストに投げてみたら？
ログにあった権限を追加していくのは、本当にログの
情報があってるかどうか確認する為で、その穴だらけの
状態で運用しろという意味じゃない。

156:login:Penguin
05/03/20 21:42:32 ki45pfhI
基本的には
検証＞確認＞システム、もしくはポリシーの編集＞検証に戻る
てな感じにやっていくしかないんじゃないの？
ドキュメントも少ないし、成熟もしていないわけだから、全て最初から
完成させる事ができるとは思わない方が良いのかなと
個人的には思います。

157:login:Penguin
05/03/21 01:19:41 Pg6EgOd7
なに、バグなの？

158:login:Penguin
05/03/21 01:22:18 ONFyNY6p
>>1
矢口真里写真集「OFF」

159:login:Penguin
05/03/21 13:03:52 RRoZFv1H
>>157
脳のバグ。

160:login:Penguin
05/03/21 13:51:20 jBLCHfdu
矢口ってちっちゃいけどかわいいよね。
モー娘。の中では一番、しっかりしていて頭が良いと思うよ。
ちゃんと勉強すればSELinuxぐらいマスターするんじゃないかな。


161:login:Penguin
05/03/21 21:45:36 RORt2abZ
１つハッキリしたのはMLを読んでいる奴が１人も居ないと事実だけだな

162:login:Penguin
05/03/21 22:41:00 RRoZFv1H
fedora-selinuxなら読んでるがw

163:login:Penguin
05/03/30 23:31:08 5Uz6Ix3e
クライアントには使えるの？

164:login:Penguin
皇紀2665/04/01(金) 07:25:06 r2NxX0YQ
Zend Optimizer(PHPのコード最適化エクステンション)が組み込まれないので悩んじまった。
httpdのエラーログには読み込みのパーミッションエラーで出てたのに、
インストールの設定に間違いない事しか確認してなかった。

勉強不足。徹底ガイド買ってきて勉強しよ

165:login:Penguin
05/04/02 15:38:39 IIOd+esG
安定ディス鳥でカーネル2.6採用してる所ってまだ少ないんですね

166:login:Penguin
05/04/02 20:21:03 iY/0s9iF
ポリシーのバージョンが19になる、カーネルはどれですか?
2.6.11でも18なんだけど、まだカーネルツリーには入ってないのかな。

167:login:Penguin
05/04/04 22:17:28 SuTxAeX/
セキュアOSとアクセス制御の勉強がしたいのですが、
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
「SELinuxシステム管理―セキュアOSの基礎と運用」
という本が2冊あるのですが、どちらのほうが詳しく書いてあるのですか？
どなたかご存知の方いらっしゃいますか？

168:login:Penguin
05/04/05 00:08:05 eXjYXAjT
>>167
徹底管理は日本で昔からセキュアOSに取り組んで来た人が書いた本なのでこちらを薦める。
もう一方は翻訳本。こちらのほうが新しく、内容も詳しくてリファレンス的。
でも最初に読む本としてはちょっと難しいかもしれない。

169:login:Penguin
05/04/05 00:08:46 eXjYXAjT
「徹底管理」じゃなくて「徹底ガイド」ね。

170:login:Penguin
05/04/05 00:32:58 6qYQ729W
いまどきFedoraCore1ベースの内容は古すぎないか？


171:login:Penguin
05/04/05 09:10:42 ujfSY/uD
>>168,169
詳細サンクスですm(__)m
早速注文して、勉強しようかと思います。

>>170
fedora 1ベースでも、SE Linux自体の設定は変わらないと思いますのでそこら辺は問題ないかと。
出版された時期が時期だから仕方ないでは？

172:login:Penguin
05/04/07 00:43:36 /slzzvEj
2冊しかないんだし、両方買っちゃえばいいじゃん

173:167
05/04/10 11:33:25 rXUX0agL
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
を購入しまして、ただ今勉強中なのです。

part1のセキュアOSの概要の中で、実際にwu-ftpdでの侵入をやっています。
自分のマシンにwu-ftpdを入れてローカルにて侵入してみたいのですが、ソースコードが見当たりません（侵入プログラムだからそう簡単に配布できないのは分かっています）
そこで、本の中でプログラムにつけられてた名前（ftpexploit）で検索をかけたら、それっぽいソースコードが引っかかりました。
URLﾘﾝｸ(www.hackemate.com.ar)

だけど、これ（コメント文が）英語ではないっぽいので使い方が分かりません。
どなたかご存知の方がいらっしゃったら教えてほしいのですが。
決して悪いことには使いませんので、宜しく御願いしますm(__)m。

174:login:Penguin
05/04/10 12:13:16 P0rRpkGQ
>>173
引数が1つしかなくて、あんなに短いソースなのに？

175:login:Penguin
05/04/10 12:19:17 JCyLqN7t
邪な心があるから読めないんだよw

176:167、173
05/04/10 12:50:56 rXUX0agL
>>174
言われてみれば、そこまで長いソースでないので頑張って読んでみます。
だけど、知らない関数が…

ちなみに、ソースコードの.arからアラビア語だと思って、翻訳かけたらすごいことに…
コメント文に何が書いてあるかちと知りたい。

177:login:Penguin
05/04/10 13:18:31 P0rRpkGQ
>>176
そのまま自動翻訳掛けてる時点でMake
Exploit C0D3D by [Hellraiser]を自分で訳してみな。

178:login:Penguin
05/04/10 13:31:10 2od0vbE4
アラビアって名前の国はないんでどうかひとつ

アラブ首長国連邦なら .ae
サウジアラビアなら .sa

世界のドメイン情報
URLﾘﾝｸ(www.benri.com)

179:login:Penguin
05/04/10 14:53:54 rXUX0agL
>>177
>Exploit C0D3D by [Hellraiser]を自分で訳してみな。
自分で訳したら、「Hellraiser（ヘルレイザー）によってC0D3Dを開発する」
って感じになるのですが....。

>>178
間違ってたみたいですね。
arだからアラビア圏のどっかだと思ってました。
.arは、アルゼンチンですね（言語はスペイン語）
ありがとうございますm(__)m




180:login:Penguin
05/04/10 15:25:30 XO5Kjlei
C0D3D ってのは coded って読むのだよ。

181:167、173、179
05/04/10 15:38:35 rXUX0agL
>>180
そうだったのですか。ありがとうございます。

ということは、「Hellraiser（ヘルレイザー）によって功績は暗号化された」ってことになります。
>そのまま自動翻訳掛けてる時点でMake
の意味が分かりました＠＠

182:login:Penguin
05/04/18 18:09:48 GyZFJyyz
googleで調べりゃくさるほどコード出てくるけどな
もっとよく探してから聞けよ

なんか話がそれてるな


183:login:Penguin
05/05/02 00:02:16 nQQXjlrv
Oracleのポリシーできた？
ってか、日本オラクルは作ってくれないの？



184:login:Penguin
05/05/12 22:47:07 JM0i3cbl

URLﾘﾝｸ(www.nsa.gov)

HTTP/1.1 200 OK
Connection: close
Date: Thu, 12 May 2005 13:37:45 GMT
Server: Microsoft-IIS/6.0

どこまでほんと？

185:login:Penguin
05/05/28 19:24:31 SZbGwWIV
ﾊｧ?

186:login:Penguin
05/05/30 00:13:44 KWwFz+yC
>>184
ヘッダ情報だけだからいくらでも偽装できる

187:login:Penguin
05/05/30 08:40:40 iZPaZpQK
>>184
Windows Serverっていうのは本当っぽいよ。
OSとWeb Serverを表示させるHPでやってみたら、

OS:Windows Server 2003
Web Server:Microsoft-IIS/6.0

って出てきたから。

188:login:Penguin
05/05/30 08:57:51 i64dRy21
流石NSAだ
俺らはWindowsだろうと堅固に出来るぜということか

189:login:Penguin
05/06/21 23:35:20 k46Hhdg9
age

190:login:Penguin
05/07/14 05:17:41 TFsXQ32L
　

191:login:Penguin
05/07/22 03:52:12 WIaeG04T
ＮＳＡによる壮大な釣り・・・・だと思う

192:login:Penguin
05/07/22 09:58:25 ymZGW3HP
Windowsの方がLinuxより堅牢にするのは簡単そうだ
Windows： 穴がすぐ出来るがすぐ塞がる
Linux： 穴がなかなか出来ないがなかなか埋まらない
だからな

193:login:Penguin
05/07/23 01:23:00 OG8etS/6
>>192
もうすでに発表から何ヶ月も過ぎている穴がいくつもポコポコあいてますが・・・
MSは穴を塞ぐ気がないようですが・・・
簡単ですか・・・そうですか・・・

194:login:Penguin
05/08/03 12:52:41 oR/NUpKB
>>192
お前はアホか？
Windows : 穴がすぐ見つかる上にMSにその気がなければ、平然と何ヶ月も放置。全てはMSの気分次第。
Linux : Windows同様、穴が見つかる事も多々あるが、オープンソースコミュニティにより、誰かがその穴を塞ぎすぐにパッチがでる。

195:login:Penguin
05/08/03 13:11:10 kkYvCA+6
>>194
＞誰かがその穴を塞ぎ
ここが弱い。近年どんどん弱まってる。保証も無い。

MSの場合、気分次第とは言ってられないから必ず穴は塞がれる。

196:login:Penguin
05/08/03 20:24:58 E0to4R2W
URLﾘﾝｸ(headlines.yahoo.co.jp)

だとよｗ


197:login:Penguin
05/08/04 17:05:15 YSDGc6SO
>>195
MS狂信者が何故ここに？
URLﾘﾝｸ(www.google.com)

198:login:Penguin
05/08/14 21:14:51 q9taHhbq
make　clean

199:login:Penguin
05/08/17 14:17:36 jxiwnKnn
-bash: make　clean: command not found

200:login:Penguin
05/08/20 08:12:24 t4rnP1is
コマンドまたはファイル名が違います


201:login:Penguin
05/09/07 01:47:37 elRriIGS
newrole -r 2ch_r

202:login:Penguin
05/09/07 14:08:57 0G7ZHT98
RHEL4 で初めて SELinux であたふたしたんですが
FC4 使ってる人達はあたふたしないもんなんでしょうか。
このスレは非常に平穏に過ぎてるなあ。

203:login:Penguin
05/09/07 15:28:50 t3rUMEED
>>202
速攻でSEは殺すから大丈夫ですよ

204:login:Penguin
05/09/07 16:58:45 KYtN4k3E
SELinux Policy Editor　使うと楽なの？

205:login:Penguin
05/09/07 17:10:20 CRe7RktX
いいえ

206:login:Penguin
05/09/07 18:41:35 0G7ZHT98
(使えない)SEは(誰かが)頃すから
(使えるSEだけになるので)
大丈夫ですよ。

207:login:Penguin
05/09/08 00:26:59 nZgiZuQI
fedora core 1にSE Linuxを組み込んでいろいろしてたのを考えると、
fedora core 3、4のほうがめちゃ楽。

208:login:Penguin
05/09/08 10:52:58 kfF39xdr
RHEL4 で、SELinuxを簡単に設定する方法ないですかね？


209:login:Penguin
05/09/08 18:48:36 y+gQmP+M
SE Linux の設定と言うけれど

1. setenforce 0 で殺した
2. コンテキストを与えまくった
3. bool を変えまくった
4. 俺専用ポリシーを作成した

どの辺りまで実践してるんだろう。

210:login:Penguin
05/09/08 19:55:10 u+Mb3QrM
>>209
４　が簡単な方法。。。があれば。orz...
LIDS 　の方が簡単そうで良いけどね。

211:名無しさん＠そうだ選挙に行こう
05/09/11 20:38:39 yYfCHbsY
セキュリティはいつの時代も難しいね。
SELinuxもそのうち慣れそうと思ったけど

212:login:Penguin
05/09/12 15:05:48 fUDuQO6Y
>>209

0.Fedoraインスコ時、チェックボックスをクリック(デフォ？) orz

213:login:Penguin
05/09/12 15:52:33 i50Yk/Pv
>>211
でも、全然なれない。複雑すぎ。orz

>>212
その画面で警告にするんだよね？

214:login:Penguin
05/09/13 09:25:39 VSGAA3Pf
複雑って言うか面倒だよなあ。。

xinetd から立ち上げるサービスが有ったとして
個々のサービスについて複雑にアクセス制御できるんだろうか？
とりあえずオライリーのSELinux本買ってきたけど
読み終わるまでしばらくかかりそうな薬缶。

215:login:Penguin
05/09/13 11:06:05 yr4ZJwvi
>>214
その手のは出来るよ。

厳格に運用するマシンじゃないとただ面倒なだけだね。

216:login:Penguin
05/09/13 17:36:43 /MCEH955
domain_auto_trans(inetd_t,***_exec_t,***_t)
で分けられそうじゃん

217:login:Penguin
05/09/27 00:35:06 W9xcpqf7
ターボってSELinux入っているのね。
セキュアOSもホリエモンか

218:login:Penguin
05/10/11 23:20:11 r8plUfZk
勉強会あるみたいだよ

219:login:Penguin
05/11/25 02:58:44 kxWbPbG4
セキュアOS盛り上がらないね
なぜ？

---

次ページ

最新レス表示

スレッドの検索

類似スレ一覧

話題のニュース

おまかせリスト

▼オプションを表示

レスジャンプ

mixiチェック！

Twitterに投稿

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch

---

4987日前に更新/86 KB
担当:undef