05/03/21 13:03:52 RRoZFv1H
>>157
脳のバグ。
160:login:Penguin
05/03/21 13:51:20 jBLCHfdu
矢口ってちっちゃいけどかわいいよね。
モー娘。の中では一番、しっかりしていて頭が良いと思うよ。
ちゃんと勉強すればSELinuxぐらいマスターするんじゃないかな。
161:login:Penguin
05/03/21 21:45:36 RORt2abZ
1つハッキリしたのはMLを読んでいる奴が1人も居ないと事実だけだな
162:login:Penguin
05/03/21 22:41:00 RRoZFv1H
fedora-selinuxなら読んでるがw
163:login:Penguin
05/03/30 23:31:08 5Uz6Ix3e
クライアントには使えるの?
164:login:Penguin
皇紀2665/04/01(金) 07:25:06 r2NxX0YQ
Zend Optimizer(PHPのコード最適化エクステンション)が組み込まれないので悩んじまった。
httpdのエラーログには読み込みのパーミッションエラーで出てたのに、
インストールの設定に間違いない事しか確認してなかった。
勉強不足。徹底ガイド買ってきて勉強しよ
165:login:Penguin
05/04/02 15:38:39 IIOd+esG
安定ディス鳥でカーネル2.6採用してる所ってまだ少ないんですね
166:login:Penguin
05/04/02 20:21:03 iY/0s9iF
ポリシーのバージョンが19になる、カーネルはどれですか?
2.6.11でも18なんだけど、まだカーネルツリーには入ってないのかな。
167:login:Penguin
05/04/04 22:17:28 SuTxAeX/
セキュアOSとアクセス制御の勉強がしたいのですが、
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
「SELinuxシステム管理―セキュアOSの基礎と運用」
という本が2冊あるのですが、どちらのほうが詳しく書いてあるのですか?
どなたかご存知の方いらっしゃいますか?
168:login:Penguin
05/04/05 00:08:05 eXjYXAjT
>>167
徹底管理は日本で昔からセキュアOSに取り組んで来た人が書いた本なのでこちらを薦める。
もう一方は翻訳本。こちらのほうが新しく、内容も詳しくてリファレンス的。
でも最初に読む本としてはちょっと難しいかもしれない。
169:login:Penguin
05/04/05 00:08:46 eXjYXAjT
「徹底管理」じゃなくて「徹底ガイド」ね。
170:login:Penguin
05/04/05 00:32:58 6qYQ729W
いまどきFedoraCore1ベースの内容は古すぎないか?
171:login:Penguin
05/04/05 09:10:42 ujfSY/uD
>>168,169
詳細サンクスですm(__)m
早速注文して、勉強しようかと思います。
>>170
fedora 1ベースでも、SE Linux自体の設定は変わらないと思いますのでそこら辺は問題ないかと。
出版された時期が時期だから仕方ないでは?
172:login:Penguin
05/04/07 00:43:36 /slzzvEj
2冊しかないんだし、両方買っちゃえばいいじゃん
173:167
05/04/10 11:33:25 rXUX0agL
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
を購入しまして、ただ今勉強中なのです。
part1のセキュアOSの概要の中で、実際にwu-ftpdでの侵入をやっています。
自分のマシンにwu-ftpdを入れてローカルにて侵入してみたいのですが、ソースコードが見当たりません(侵入プログラムだからそう簡単に配布できないのは分かっています)
そこで、本の中でプログラムにつけられてた名前(ftpexploit)で検索をかけたら、それっぽいソースコードが引っかかりました。
URLリンク(www.hackemate.com.ar)
だけど、これ(コメント文が)英語ではないっぽいので使い方が分かりません。
どなたかご存知の方がいらっしゃったら教えてほしいのですが。
決して悪いことには使いませんので、宜しく御願いしますm(__)m。
174:login:Penguin
05/04/10 12:13:16 P0rRpkGQ
>>173
引数が1つしかなくて、あんなに短いソースなのに?
175:login:Penguin
05/04/10 12:19:17 JCyLqN7t
邪な心があるから読めないんだよw
176:167、173
05/04/10 12:50:56 rXUX0agL
>>174
言われてみれば、そこまで長いソースでないので頑張って読んでみます。
だけど、知らない関数が…
ちなみに、ソースコードの.arからアラビア語だと思って、翻訳かけたらすごいことに…
コメント文に何が書いてあるかちと知りたい。
177:login:Penguin
05/04/10 13:18:31 P0rRpkGQ
>>176
そのまま自動翻訳掛けてる時点でMake
Exploit C0D3D by [Hellraiser]を自分で訳してみな。
178:login:Penguin
05/04/10 13:31:10 2od0vbE4
アラビアって名前の国はないんでどうかひとつ
アラブ首長国連邦なら .ae
サウジアラビアなら .sa
世界のドメイン情報
URLリンク(www.benri.com)
179:login:Penguin
05/04/10 14:53:54 rXUX0agL
>>177
>Exploit C0D3D by [Hellraiser]を自分で訳してみな。
自分で訳したら、「Hellraiser(ヘルレイザー)によってC0D3Dを開発する」
って感じになるのですが....。
>>178
間違ってたみたいですね。
arだからアラビア圏のどっかだと思ってました。
.arは、アルゼンチンですね(言語はスペイン語)
ありがとうございますm(__)m
180:login:Penguin
05/04/10 15:25:30 XO5Kjlei
C0D3D ってのは coded って読むのだよ。
181:167、173、179
05/04/10 15:38:35 rXUX0agL
>>180
そうだったのですか。ありがとうございます。
ということは、「Hellraiser(ヘルレイザー)によって功績は暗号化された」ってことになります。
>そのまま自動翻訳掛けてる時点でMake
の意味が分かりました@@
182:login:Penguin
05/04/18 18:09:48 GyZFJyyz
googleで調べりゃくさるほどコード出てくるけどな
もっとよく探してから聞けよ
なんか話がそれてるな
183:login:Penguin
05/05/02 00:02:16 nQQXjlrv
Oracleのポリシーできた?
ってか、日本オラクルは作ってくれないの?
184:login:Penguin
05/05/12 22:47:07 JM0i3cbl
URLリンク(www.nsa.gov)
HTTP/1.1 200 OK
Connection: close
Date: Thu, 12 May 2005 13:37:45 GMT
Server: Microsoft-IIS/6.0
どこまでほんと?
185:login:Penguin
05/05/28 19:24:31 SZbGwWIV
ハァ?
186:login:Penguin
05/05/30 00:13:44 KWwFz+yC
>>184
ヘッダ情報だけだからいくらでも偽装できる
187:login:Penguin
05/05/30 08:40:40 iZPaZpQK
>>184
Windows Serverっていうのは本当っぽいよ。
OSとWeb Serverを表示させるHPでやってみたら、
OS:Windows Server 2003
Web Server:Microsoft-IIS/6.0
って出てきたから。
188:login:Penguin
05/05/30 08:57:51 i64dRy21
流石NSAだ
俺らはWindowsだろうと堅固に出来るぜということか
189:login:Penguin
05/06/21 23:35:20 k46Hhdg9
age
190:login:Penguin
05/07/14 05:17:41 TFsXQ32L
191:login:Penguin
05/07/22 03:52:12 WIaeG04T
NSAによる壮大な釣り・・・・だと思う
192:login:Penguin
05/07/22 09:58:25 ymZGW3HP
Windowsの方がLinuxより堅牢にするのは簡単そうだ
Windows: 穴がすぐ出来るがすぐ塞がる
Linux: 穴がなかなか出来ないがなかなか埋まらない
だからな
193:login:Penguin
05/07/23 01:23:00 OG8etS/6
>>192
もうすでに発表から何ヶ月も過ぎている穴がいくつもポコポコあいてますが・・・
MSは穴を塞ぐ気がないようですが・・・
簡単ですか・・・そうですか・・・
194:login:Penguin
05/08/03 12:52:41 oR/NUpKB
>>192
お前はアホか?
Windows : 穴がすぐ見つかる上にMSにその気がなければ、平然と何ヶ月も放置。全てはMSの気分次第。
Linux : Windows同様、穴が見つかる事も多々あるが、オープンソースコミュニティにより、誰かがその穴を塞ぎすぐにパッチがでる。
195:login:Penguin
05/08/03 13:11:10 kkYvCA+6
>>194
>誰かがその穴を塞ぎ
ここが弱い。近年どんどん弱まってる。保証も無い。
MSの場合、気分次第とは言ってられないから必ず穴は塞がれる。
196:login:Penguin
05/08/03 20:24:58 E0to4R2W
URLリンク(headlines.yahoo.co.jp)
だとよw
197:login:Penguin
05/08/04 17:05:15 YSDGc6SO
>>195
MS狂信者が何故ここに?
URLリンク(www.google.com)
198:login:Penguin
05/08/14 21:14:51 q9taHhbq
make clean
199:login:Penguin
05/08/17 14:17:36 jxiwnKnn
-bash: make clean: command not found
200:login:Penguin
05/08/20 08:12:24 t4rnP1is
コマンドまたはファイル名が違います
201:login:Penguin
05/09/07 01:47:37 elRriIGS
newrole -r 2ch_r
202:login:Penguin
05/09/07 14:08:57 0G7ZHT98
RHEL4 で初めて SELinux であたふたしたんですが
FC4 使ってる人達はあたふたしないもんなんでしょうか。
このスレは非常に平穏に過ぎてるなあ。
203:login:Penguin
05/09/07 15:28:50 t3rUMEED
>>202
速攻でSEは殺すから大丈夫ですよ
204:login:Penguin
05/09/07 16:58:45 KYtN4k3E
SELinux Policy Editor 使うと楽なの?
205:login:Penguin
05/09/07 17:10:20 CRe7RktX
いいえ
206:login:Penguin
05/09/07 18:41:35 0G7ZHT98
(使えない)SEは(誰かが)頃すから
(使えるSEだけになるので)
大丈夫ですよ。
207:login:Penguin
05/09/08 00:26:59 nZgiZuQI
fedora core 1にSE Linuxを組み込んでいろいろしてたのを考えると、
fedora core 3、4のほうがめちゃ楽。
208:login:Penguin
05/09/08 10:52:58 kfF39xdr
RHEL4 で、SELinuxを簡単に設定する方法ないですかね?
209:login:Penguin
05/09/08 18:48:36 y+gQmP+M
SE Linux の設定と言うけれど
1. setenforce 0 で殺した
2. コンテキストを与えまくった
3. bool を変えまくった
4. 俺専用ポリシーを作成した
どの辺りまで実践してるんだろう。
210:login:Penguin
05/09/08 19:55:10 u+Mb3QrM
>>209
4 が簡単な方法。。。があれば。orz...
LIDS の方が簡単そうで良いけどね。
211:名無しさん@そうだ選挙に行こう
05/09/11 20:38:39 yYfCHbsY
セキュリティはいつの時代も難しいね。
SELinuxもそのうち慣れそうと思ったけど
212:login:Penguin
05/09/12 15:05:48 fUDuQO6Y
>>209
0.Fedoraインスコ時、チェックボックスをクリック(デフォ?) orz
213:login:Penguin
05/09/12 15:52:33 i50Yk/Pv
>>211
でも、全然なれない。複雑すぎ。orz
>>212
その画面で警告にするんだよね?
214:login:Penguin
05/09/13 09:25:39 VSGAA3Pf
複雑って言うか面倒だよなあ。。
xinetd から立ち上げるサービスが有ったとして
個々のサービスについて複雑にアクセス制御できるんだろうか?
とりあえずオライリーのSELinux本買ってきたけど
読み終わるまでしばらくかかりそうな薬缶。
215:login:Penguin
05/09/13 11:06:05 yr4ZJwvi
>>214
その手のは出来るよ。
厳格に運用するマシンじゃないとただ面倒なだけだね。
216:login:Penguin
05/09/13 17:36:43 /MCEH955
domain_auto_trans(inetd_t,***_exec_t,***_t)
で分けられそうじゃん
217:login:Penguin
05/09/27 00:35:06 W9xcpqf7
ターボってSELinux入っているのね。
セキュアOSもホリエモンか
218:login:Penguin
05/10/11 23:20:11 r8plUfZk
勉強会あるみたいだよ
219:login:Penguin
05/11/25 02:58:44 kxWbPbG4
セキュアOS盛り上がらないね
なぜ?
220:login:Penguin
05/11/25 06:00:43 dkeSDxLD
URLリンク(www.atmarkit.co.jp)
221:login:Penguin
05/12/15 22:15:40 Qqr6E85d
SELinuxシンポジウムに行く香具師はいないのか?
222:login:Penguin
05/12/25 13:04:17 ZucL9yrx
SELinuxも何かあるのか。。
米国家安全保障局(NSA)の国内盗聴問題で、米紙ニューヨーク・
タイムズ(電子版)は23日、盗聴などの情報収集は、複数の通信会社
の協力を得て通信網の根幹部分に直接アクセスして行われ、得られた
情報量はホワイトハウスが確認しているよりもはるかに大量である可能性
がある、と報じた。
同紙によると、NSAがアクセスしていたのは、米国の通信回線と国外
の通信回線をつなぐ「スイッチ」と呼ばれる交換機に当たる部分。当局者らは
「大規模データ採掘作戦」と呼び、電話や電子メールの発信地や送り先、
日時や通話時間などのパターンを分析。2001年の米中枢同時テロ以降は、
特にアフガニスタン絡みの通信に注意していたという。
主要通信会社の元技術担当責任者によると、複数の通信会社が通信
データを保存、テロリストの捜索を支援するため、連邦政府にデータを
提供。NSAで以前勤務していた専門家によると、当局はこの技術を利用
するため、通信会社に対し、米国を経由する国際通信量を増やすよう
働き掛けていたという。
URLリンク(www.sankei.co.jp)
223:login:Penguin
05/12/25 18:31:59 aP6RzIW/
俺がソース読んだ限りでは変な記述は見当たらなかったが、
それほど自分のスキルに自信があるわけでもないので言い切れない(笑)
224:login:Penguin
06/02/15 00:40:42 CtdekGRh
ここでいいのかわからんけれど
/home/oreore/public_html に user_u:object_r:httpd_sys_content_t
にしているわけで
これだと、FTPやSambaからアクセスできないです
ちょっとした CGI を作ろうと思ってここまできましたが
どうすればいいでしょう?
225:login:Penguin
06/02/28 02:11:12 EuS24R+g
allow ftpd_t httpd_sys_content_t:file r_file_perms;
allow samba_t httpd_sys_content_t:file r_file_perms;
226:login:Penguin
06/03/14 23:05:02 AZmBKFnA
>>225
ありがとう
うまくいきました
227:login:Penguin
06/03/14 23:39:58 /Js5s5In
>>225
それだと、ファイル生成やサブディレクトリへのアクセスができない。
allow {ftpd_t samba_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t samba_t} httpd_sys_content_t:dir create_dir_perms;
の方がより適切
228:login:Penguin
06/03/20 23:27:52 VQ85yjvJ
最小権限をどこまで最小権限にするのかの見極めが難しいな
229:login:Penguin
06/03/22 00:51:02 UqoYLMbZ
確かに
アクセスできたことで、安心してしまっていた
>227
samba_t まわりでエラーが出ます
まぁ、FTP使えればいいんですけどね
230:login:Penguin
06/03/23 11:30:16 62GALYzX
allow {ftpd_t smbd_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t smbd_t} httpd_sys_content_t:dir create_dir_perms;
を apache.te に入れたらうまくいきました
ありがとうございます
231:227
06/03/26 20:28:58 27E7HmkK
>>230
すまん、samba_tじゃなかった。
あと、CGIを動かす場合には httpd_sys_script_exec_t 付けるのを忘れないようにねん。
232:login:Penguin
06/03/29 03:00:12 HQBRg2uP
たいして勉強もしないでSELinux難しいって言うやつ多いよ
233:login:Penguin
06/03/29 08:03:39 CvH+CUAc
難しいんじゃなくて面倒くさい。
234:login:Penguin
06/03/29 08:03:40 9P02Nfg2
面倒くさい→難しい
ってことなんじゃね?
235:login:Penguin
06/03/29 08:05:07 9P02Nfg2
1秒差かよw
236:login:Penguin
06/03/29 11:44:57 UP8y3H8S
>>232
勉強しなきゃいけないから、難しい
って理屈は通りませんか?
237:login:Penguin
06/03/29 11:49:59 QcX2cin5
難しいから勉強するんじゃね?
238:login:Penguin
06/03/29 21:35:47 HQBRg2uP
iptablesとかsnortもSELinuxを同じくらい面倒ではないか
239:login:Penguin
06/03/30 01:35:10 KGSVIhop
日本語で(ry
240:login:Penguin
06/03/30 03:13:52 UbuRNvya
めずらしくレスあるな。
SELinuxとTOMOYOLinuxできればどこでも転職できます
ぐらいの売り込みすればみんなOFFにしないんじゃん
実際まだ扱える人材は少ないけど、注目度は高いんだし
241:login:Penguin
06/03/30 23:42:31 vYvTHlZE
とりあえず今からVine用にポリシーを書いて安定動作させられるだけの人材なら転職が楽だと思う
242:login:Penguin
06/03/31 03:54:04 c2Q2PtAv
今はSELinuxを扱える人材を募集している会社がまだそんなになさそう。
そのうちLinuxを扱うエンジニアには必須項目になってくると思うけどね。
243:login:Penguin
06/03/31 12:19:46 E8eNEfyd
本気か?
こんなめんどくさいもん入れるやつは出てこないよ。
244:login:Penguin
06/03/31 13:29:50 cBe4lNwk
面倒だからこそメシの種になるんじゃないのか
245:login:Penguin
06/03/31 15:37:39 UiGwZxlZ
ここにもいるであろう”SELinuxを扱える人”って、MLSやらDTEやらRBACやらのセキュリティポリシーモデルもちゃんとお勉強したの??
246:login:Penguin
06/03/31 19:33:26 E8eNEfyd
>>244
客は理解できないから発注しない。
247:login:Penguin
06/03/31 23:36:30 AEimUosf
つうか、SELinuxのポリシーを業務で *本当に* 扱えるってことは、システムの要件全体や
全プロセスの挙動、業務フローまで全部理解してるはずじゃない?
それだけのスキルがあればSELinux抜きでもメシを食えると思う
Hello Worldレベルの設定で喜んでるなら別だけど
248:login:Penguin
06/03/32 01:43:32 JDoyVCsD
targetedならできそうじゃね?
249:login:Penguin
06/04/04 23:03:35 dbz5rSMH
FedoraCore5のSELinux触った?
新しくなっててよくわからなくなってるし
250:login:Penguin
06/04/04 23:39:02 Nxd02Sjx
FedoraCore5のMCSにはバグがあるから気をつけろ。
251:login:Penguin
06/04/05 00:33:30 RyEzmfa8
アメリカの軍事機関産なんてもんは
ウィルス流し込むのと変わらん
252:login:Penguin
06/04/05 00:33:48 18+Z0sd8
MCSにバグあるのか。そもそもMCSをよく理解してないけど。。
253:250
06/04/05 00:36:27 v5+HM8wU
プロセスのカテゴリ間遷移に何の制約もかかってないので、結局どんなカテゴリを設定したところで
% runcon -l SystemLow-SystemHigh /bin/bash
一発でアクセス可能になってしまうという…。
254:login:Penguin
06/04/05 08:12:00 kamtW6c3
>>251
そうだな。
255:login:Penguin
06/04/05 12:34:02 fw77qyCk
ネットの技術なんてアメリカの軍事から産まれたの多くないか?
日本だと防衛庁がつくれば日本人エンジニアも納得って感じか?
256:login:Penguin
06/04/06 07:25:54 oviNSQ1N
それなんて富士通?
257:login:Penguin
06/04/06 11:28:37 YEiCHFN4
それってWindowsUpdateはウイルス流し込むのと変わらない
と言っているのと同じ気がするけど
258:login:Penguin
06/04/07 01:08:46 6DBpvXFo
SystemLow-SystemHigh ってなんだ?
また新しい機能はいったん?
259:250
06/04/07 15:32:43 niRmaLXj
>>258
それがMCSクオリティ
デフォルトの設定で、全てのカテゴリを包含する(全てのカテゴリに権限を有する)カテゴリに対して付けられたエイリアス
要するに、カテゴリ0~カテゴリ255まで全部ってことだな。
/etc/selinux/targeted/setrans.conf 見れ
#
# Multi-Category Security translation table for SELinux
#
# Uncomment the following to disable translation libary
# disable=1
#
# Objects can be categorized with 0-256 categories defined by the admin.
# Objects can be in more than one category at a time.
# Categories are stored in the system as c0-c255. Users can use this
# table to translate the categories into a more meaningful output.
# Examples:
# s0:c0=CompanyConfidential
# s0:c1=PatientRecord
# s0:c2=Unclassified
# s0:c3=TopSecret
# s0:c1,c3=CompanyConfidentialRedHat
s0=
s0-s0:c0.c255=SystemLow-SystemHigh
s0:c0.c255=SystemHigh
260:login:Penguin
06/04/08 19:50:52 iy4/n+cL
Fedora Core 5 にして、現在後悔中
どうやってポリシーいじればいいんだ・・・
261:login:Penguin
06/04/08 21:02:53 st9vL7l7
FC4→FC5は別物だな
262:250
06/04/10 00:01:01 C/cakVDw
URLリンク(seibun.nosv.org)
SELinuxの71%は罠で出来ています
SELinuxの13%は情報で出来ています
SELinuxの8%は気の迷いで出来ています
SELinuxの8%は理論で出来ています
なんか笑えた。結構合ってるような気が…。
263:login:Penguin
06/04/10 11:34:49 yj7wkDKQ
>>262
ワロタ
やっぱりfedoraは危険だなぁw
264:login:Penguin
06/04/11 20:16:14 SajR50yj
>>262
exe版と結果が違うんだが。
265:login:Penguin
06/04/11 21:32:30 BhjOi48X
ってかMLSとか、MCSって必要なの?
いままでの仕組みで十分じゃね?
266:sage
06/04/11 21:40:45 GCPU4MAU
MCSはすっごく使いやすいで。
ポリシー全く編集せずに特権分割まがいのことができる。
267:login:Penguin
06/04/11 21:52:15 BhjOi48X
カテゴリーごとに分割するだけでいいってことかな。
勉強してみよう。
268:login:Penguin
06/04/16 12:51:52 3ADQtYrD
SELinuxを有効にして運用しているサイトってどれぐらいあるの?
269:login:Penguin
06/04/16 21:38:44 Nq8scThW
# ls -Z
が出来なくなりました
[root@xxxx ~]# ls -Z
Sorry, this option can only be used on a SELinux kernel.
こんなメッセージが出ます。
どこを直したら良いでしょうか?教えてください。
270:269
06/04/16 21:52:19 Nq8scThW
自己解決しました。
SELinux Policy Editor を導入したためでした。
お騒がせしてすいませんでした。
271:login:Penguin
06/04/18 21:31:04 H2PkL+Ho
ラッセルって誰ですか?
272:sage
06/04/18 21:39:30 6edQt34n
>>271
赤帽の人です
273:login:Penguin
06/04/18 22:06:21 H2PkL+Ho
なるほど。赤帽の人ですか。
日本で勉強会するために来日とかですか
274:login:Penguin
06/05/01 03:48:11 GQZu5Odn
ラッセルは何しにきたの?
275:login:Penguin
06/05/03 16:22:37 FbhDLGnH
ここの過去ログかなり参考になったのであげときます
許可されていない操作です で拒否られないようにっと><
276:login:Penguin
06/05/12 01:33:15 VCbRI40x
政府が日本版SELinuxを税金でつくるらしいね。ホントかよ
TOMOYOでいいような気もするけど
277:login:Penguin
06/05/12 16:50:02 okAGl8Ef
>>276
さすがにwinnyで情報流出のTVいっぱい流してたし、そういう流れでしょ
278:login:Penguin
06/05/13 00:50:37 LU0QM1Pb
ブッシュ大統領、NSAによる米国内の通話データ収集を擁護
URLリンク(japan.cnet.com)
こういう印象がNSAにはあるから、SELinuxを政府では使いたくなくて、
日本版をつくるってこと?
279:login:Penguin
06/05/13 14:21:03 Wq9uQuZR
>>276
>>278の話もあるけど、
そんなことするなら、SELinuxの検証した方がいい気がする。
TOMOYOでもいいけど、RBACはこれからも予定はないんだろうか。
280:login:Penguin
06/05/13 15:50:09 LU0QM1Pb
OSSなのに何か仕込まれているのかなあ?
バレたときいいわけできないじゃん
まあおエライ人の考えることだしねえ
281:login:Penguin
06/05/16 10:55:12 pcXHQYws
>>278-280
文句言う前に、とりあえず喪前らソースでも読めよと。
282:login:Penguin
06/05/17 22:36:52 1oMw1vmW
政府の役人はNSAってだけで怖いんだな
283:login:Penguin
06/05/23 22:05:47 LUJq97y9
国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表
開発を進める「次世代OS環境」は、WindowsやLinuxなどをゲストOSとして稼動
させることのできるVM(Virtual Machine)環境をイメージし、このVM環境に
セキュリティ機能を組み合わせた「セキュアVM」と呼ぶ環境の構築を目指す。
URLリンク(internet.watch.impress.co.jp)
これのこと?
284:login:Penguin
06/05/25 02:18:55 Vs8NYI9S
ゲストOSにSELinuxつかうの?
285:login:Penguin
06/05/26 14:23:37 3bfbfETV
URLリンク(enterprise.watch.impress.co.jp)
どこらへんが対応なんだかわからん。
286:login:Penguin
06/05/27 01:54:56 HE5H6UoF
ServerProtect用のポリシーがついてくるとかw
287:login:Penguin
06/06/01 23:43:14 oI4VC7+d
こんなもんに金かける前に
I18N を主導して欲しかったよ。
288:login:Penguin
06/06/02 02:11:35 uuFyJyYw
LinuxWorld行った?
289:login:Penguin
06/06/02 22:42:11 hcD+Nubh
LinuxConrefence行った?
290:login:Penguin
06/06/04 20:52:17 b5BKM+1t
LinuxWorld行けなかった。。。
SELinuxネタは多かったの?
291:login:Penguin
06/06/05 23:15:37 v5HTa0C4
>290
もう右を向いても左を向いてもSELinuxって感じだったよ。
292:login:Penguin
06/06/06 15:30:58 Y8NRdPWo
ホントかよ!
なのに導入事例はいっさい聞いたことがない。。。
293:login:Penguin
06/06/07 04:55:55 4ZlW1/UC
前や後ろを向いたら違うものが見えてそうだ。
294:login:Penguin
06/06/08 20:55:09 RikEnc/R
LIDSとAppArmorが見える
295:login:Penguin
06/06/13 13:53:08 bfyV1Zm2
SELinux Sex
AppArmor Armor
コンドーム!!
296:login:Penguin
06/06/13 22:43:07 HL9I0jGj
SEXは
「Security-Enhanced X」
のことだよね
297:login:Penguin
06/06/28 21:06:46 LVP+o8HQ
2006年度UNIX/Linuxセキュリティ実践講座開催のご案内
URLリンク(www2.tamacc.chuo-u.ac.jp)
298:login:Penguin
06/07/02 21:27:58 S6c6I++3
いまさらだが、なにこのスレタイ
"SELinux"で検索することぐらい普通考えられるだろ
299:login:Penguin
06/07/03 00:55:52 hS22+TsM
>>33
300:login:Penguin
06/07/08 11:39:20 eo7Tt5Hp
>>298
Security Enhanced Linuxはアメリカでは、略してセックスと呼ばれることが多いので、
セックスもスレタイに入れたほうがよい。
Sexurity Enhanced linuX = SEX
301:login:Penguin
06/07/08 21:12:37 dC5O/xFW
>>300
は?SE-XはSecurity Enhanced X (X Window System)のことだ。
SELinuxについて100万回勉強してから釣れ。
302:login:Penguin
06/07/09 16:44:46 rI2bNedh
なんか設定ツールができたらしいね
100万回勉強したら高待遇で転職できるかも
303:login:Penguin
06/07/11 13:01:25 1lcYrZ+i
あと99万と8600回くらいだなぁ・・・
304:login:Penguin
06/07/12 08:09:47 X5kF2WB6
なにをもって一回と数えるの?
305:login:Penguin
06/07/13 01:02:36 Qfpp8B6o
checkpolicyを実行してポリシーをビルドした回数でいいんじゃね?
306:login:Penguin
06/07/13 05:30:16 TZueCr6q
一日100回はビルドするから…1万日か。無理だw
307:login:Penguin
06/07/13 20:57:38 Qfpp8B6o
>>306
長生きしないとな。
308:login:Penguin
06/07/13 21:33:21 //G/Y/i2
並列処理しよう
309:login:Penguin
06/07/14 00:28:11 jt/F/kIF
お仕事で鯖立てている人で、ポリシー設定を1からやらなきゃいけない場合どうやってる?
1.いきなりStrictにして1からゴリゴリポリシー定義
2.targetedで起動→もとから定義されているポリシーを基に必要なポリシーを定義。不必要なポリシーは捨てる
3.ポリシーエディタでGUIマンセーと言いながらポチポチ…
4.SELinuxマンドクセ(´A`)から使わない。クラッキング?されないよ。
さぁ、どれ?
310:login:Penguin
06/07/14 08:42:38 /litWvkG
>>309
4
鯖移行の時間的猶予がなかったから
そこまで手が回らんかった
311:login:Penguin
06/07/14 09:34:59 fzToeWsD
セキュリティコンテキストの粒度が粗すぎる。
手間のわりに得られるものが小さい。
312:login:Penguin
06/07/14 11:22:31 Au5mkboI
>>309
1かな。SELinuxとポリシのバージョンにもよるけど
基本的には一つ一つつぶしていく。
おかげでシステムに変更があるたびにひぃひぃ言ってるけどねー。
>>311
というと?network周りの粒度はだめすぎだけど、どの辺が粗いの?
security contextってラベルのことで、粒度じゃないんだが…。
標準のポリシで宣言されてるsecurity contextが粒度が粗いってこと?
313:login:Penguin
06/07/15 03:54:37 o7cn6VKH
結局strict使わないとガマンできなくなってきた
targetedじゃ不満なの
314:ぴょん♂
06/07/21 18:21:36 vpOGPyfK BE:756669896-
WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく!
315:login:Penguin
06/07/26 01:51:01 E/yMm3qA
URLリンク(ja.wikipedia.org)
これだな
316:login:Penguin
06/07/28 20:01:21 naP4/z2F
>>314 さん、残念!
317:login:Penguin
06/07/29 01:05:53 ooO7KrP9
GFDL違反だったのね。はやく直してね
318:ぴょん♂
06/07/30 18:46:31 7OZFwZRa BE:168148962-2BP(11)
orz
ぴょん♂はめげないびょん!
みんなの努力は無駄にしないびょん!
319:login:Penguin
06/08/08 02:17:53 kKxQ5ddh
/etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)
どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。
ちなみにOSはCentOS4.3です。
320:login:Penguin
06/08/09 08:31:49 sAXh/maJ
おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん(w
321:login:Penguin
06/08/09 13:03:21 EvfB/Ijo
よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ゚Д゚)oブンブン
322:login:Penguin
06/08/10 11:49:00 BuQH6vVh
>>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況?
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな?
てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目?
323:login:Penguin
06/08/10 19:48:38 P0AUZ9Cm
>>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする?と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。
sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。
対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。
/etc/init.d/postgresqlがいいサンプルです。いじょ
324:319
06/08/11 20:54:13 FuajfgM8
>>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。
ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。
325:login:Penguin
06/08/12 01:52:44 zNJFRxv2
そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ?
326:login:Penguin
06/08/12 01:56:48 lXyPDQFa
労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。
jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。
327:login:Penguin
06/08/12 13:00:38 qaCnxs+9
まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。
守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。
328:login:Penguin
06/08/13 15:10:02 MX6/xln0
ACLでもroot権限がある限り意味なくね?
329:login:Penguin
06/08/13 15:24:08 9z7pAa4b
rootのっとられたらそりゃ終わりさ。
330:login:Penguin
06/08/14 01:06:55 n3hb6PHF
管理者権限奪取を防ぐのがSELinuxじゃないの?
企業とか個人とかの問題ではないような
331:login:Penguin
06/08/14 01:23:14 6sxGzDLo
管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。
でも全Linuxerの何%がポリシー作るところからやってるのかな?
332:322
06/08/14 13:06:55 PGuDhi6G
>>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり?
>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば?という話になるし。
(POSIX ACL。Kernel2.6以降で利用可)
>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用)
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。
まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。
333:login:Penguin
06/08/14 23:17:47 6sxGzDLo
>332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)
>人間業じゃなくて神業の領域だけど。
だよねえ。。
334:login:Penguin
06/08/14 23:45:50 n3hb6PHF
TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー
335:323
06/08/15 21:20:16 2nHPUtyi
>>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
# And start it up.
if [ -z "$user" ]; then
$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
else
$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。
336:login:Penguin
06/08/16 15:29:47 fEuPMp3H
これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能?
337:login:Penguin
06/08/18 13:01:52 TZakQUvB
SELinuxって実はけっこう使われているの?
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから
338:login:Penguin
06/08/18 13:49:56 GqAwobo6
Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。
339:login:Penguin
06/08/24 01:15:31 jMRHgiY/
unconfined_tってフルアクセス権じゃないってこと?
340:login:Penguin
06/09/19 03:54:30 SAA96Un5
思ったほど難しくないよね
341:319
06/10/07 01:49:39 0VQxcj1l
結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。
このスレも廃れてますね…
342:login:Penguin
06/11/24 22:38:24 wx5gf/fe
誰か、これわかる?
URLリンク(bbs.fedora.jp)
343:login:Penguin
06/11/26 02:08:18 fQeoc878
SELinux儲かってる?
344:login:Penguin
06/12/04 23:54:45 g4pIfnK5
>>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ
継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、5年後位には変更が
超困難なシステムになってそう。
345:login:Penguin
06/12/08 02:26:01 uYBNBzil
メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない?
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない?
346:login:Penguin
06/12/14 01:16:38 FEduJ84b
そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。
非常にうまいパズルみたいな設定を思いついても、未来の自分とか5年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。
347:login:Penguin
07/01/01 14:03:54 ZA4pg8/A
サーバのセットアップは10%が設定で90%がドキュメント書きです。
348:login:Penguin
07/01/01 17:06:03 cCEHaAby
しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・
349:login:Penguin
07/01/01 21:18:49 ZA4pg8/A
あるあ・・・・・
・・・ある
350:login:Penguin
07/02/03 21:22:32 genGKaeR
SEEdit使えるディス鳥だと滅茶苦茶楽なのね
351:login:Penguin
07/02/03 23:18:08 Mbd9W+hX
>>350
debianにも対応して欲すい。
352:login:Penguin
07/02/03 23:58:53 95H1oCnY
SLIDE
URLリンク(oss.tresys.com)
353:login:Penguin
07/02/04 01:24:01 JEZbmpW6
>>352
うーむ。玄人向けのツールでつねw。
354:login:Penguin
07/02/04 15:36:22 5jUhfyFG
restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。
355:login:Penguin
07/02/04 18:51:49 weMH9ex9
>>354
どういうこと?
356:login:Penguin
07/02/14 02:14:49 7vXpsxj1
スレリンク(mac板:64-66番) によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです
357:login:Penguin
07/02/14 02:58:07 m4IlMoGA
セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。
SEBSDだってSEDarwinだってあるのにねー。
まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。
358:login:Penguin
07/02/14 08:58:01 niX0xEiK
Debian sidでSELinuxを有効にしてみた。
URLリンク(wiki.debian.org)
を見てやってみた。とりあえずpassiveモードで動かすことにしよう。
動かした後は、
URLリンク(fedora.redhat.com)
に書かれていることの方が詳しいらしい。英語だけど。
359:login:Penguin
07/02/14 16:28:27 1y5ZKtbN
慣れれば簡単だよ。がんばれ!
360:login:Penguin
07/02/15 03:14:44 m3smwIxK
今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった
Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった
しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。
どうやったらSamba使ってのファイルの移動ができるようになりますか?
SELinuxをオフとかPassiveモードはなしでお願いします。
361:login:Penguin
07/02/15 03:57:07 m3smwIxK
げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったw
Linux触って1ヶ月も経たない俺じゃ無理だな
SELinux OFF。。。
362:login:Penguin
07/02/15 08:57:40 43dnQNxp
SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。
363:login:Penguin
07/02/16 01:34:40 wqIfZsXx
SELinuxでSamba使えるようにするおまじないってあるのか?
もれは挫折したよw
364:login:Penguin
07/02/20 03:52:53 Ca1ZTyX/
samba_enable_home_dirs
365:login:Penguin
07/02/21 09:08:43 LnST7+x3
こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。
こういうものは、GUIツールで
カテゴリ別に分類し、
説明(当然日本語)を横に併記するツールを
使わないと手におえない。
昔のアドベンチャーゲームみたいだよ。
しっているか? 昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。
「go west」「open door」見たいにね。
こんなの今やりたいと思う?
366:login:Penguin
07/02/22 10:08:59 Npz4O/wL
GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。
367:login:Penguin
07/02/22 17:04:53 sTb3TkGi
>>365
polish pillar
368:login:Penguin
07/02/23 01:34:09 qdcf1zF9
>>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った
369:login:Penguin
07/03/11 08:22:06 wX/2NnTP
SEポスグレってすごいの?
370:login:Penguin
07/04/06 01:06:33 UPWHeFdH
で、誰か実際につかっているの?
371:login:Penguin
07/04/06 04:13:38 cKBkkTOC
ノ
372:login:Penguin
07/04/08 14:11:42 LO1Xtzj3
/opt以下につっこんであるやつの設定を追加しようとしたけど
元々の/optのが優先されててだめぽ
なんか悔しいぞ
373:login:Penguin
07/04/10 02:00:50 hMSFLh9c
↑?
374:login:Penguin
07/04/10 02:54:48 rNCKWXPT
Security Contextを貼り付けたいんだけど、
既に定義が書かれていてコンフリクトした挙句、
元々のが優先されるって意味だと解釈してみるテスト
375:login:Penguin
07/04/22 01:35:18 PB4N3AEh
>>374
semanageでファイルコンテキストを設定できるにょ。
376:login:Penguin
07/05/10 18:20:01 BLf25W9d
えっと
今 CentOS 5.0 + Apache 2.2.3 + SELinux でドツボにはまってます。
google先生に聞いても埒があかない状態で困ってます。
まずは、ここにあることは全部やったんです。
URLリンク(bbs.fedora.jp)
だけど
chcon -R -t public_content_rw_t public_html
をやると、cgi(Perl記述のもの) が正常に実行されません。
Internal Server Error です。
/var/log/httpd/suexec.log をみると
「cannot get docroot information (/home/user1)」が出ています。
suexecは有効になっていません。(apachectl -V って実行すれば確認できるんですよね?)
setenforce 0 をすると動くし、
/sbin/restorecon -RF public_html をすると動くんです。
もし、何らかのヒント、キーワードなどを提示できる方がいらっしゃいましたら、ご教示お願いします。
377:login:Penguin
07/05/10 19:18:43 NluEhGm9
えーと、俺まだ4.4使ってるんで詳しいことは分からないのだが、まずはgetseboolしてごらん。
378:376
07/05/11 14:21:27 Nl1Y51hb
えっと、すいません。
getsebool -a 眺めてもさっぱりわかりませんでした。
んで、その中に
httpd_enable_ftp_server
なんてものを見つけて、これをONにしたら、
chcon -R -t public_content_rw_t public_html
/usr/sbin/setsebool -P allow_ftpd_anon_write 1
/usr/sbin/setsebool -P allow_smbd_anon_write 1
これらをやらなくてもちゃんと FTP で読み書きできるじゃないですか。。。
Sambaでのpublic_htmlは、便利とともに、問題も感じていたので、
この際、FTPベースでの運用に切り替えたいと思います。
どうもありがとうございました。
379:377
07/05/11 14:35:57 Yp1rNt+V
実験環境の5で見てみたけど
man httpd_selinuxしても、まだhttpd_enable_ftp_serverの説明はないみたいだね。
一応、httpd_selinuxのmanが書かれた時期は
public_content_*_tにすることでSambaやらhttpdやらで共有できるようにはなるとある。
…まぁ、targetedならsambaにせよ、幾つかseboolのフラグ変えるだけで問題ないんだけどね。
380:login:Penguin
07/06/16 21:03:04 TVeCm9rc
seeditの*.deb版マダー?
381:login:Penguin
07/06/21 19:27:53 Li79wnCV
URLリンク(www.atmarkit.co.jp)
382:login:Penguin
07/06/30 23:12:48 k22DBsYL
>>381
> URLリンク(www.atmarkit.co.jp)
でも、まだまだSELinuxって使いにくいよねぇ。
383:login:Penguin
07/07/04 12:50:00 53ILzz44
TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
1000000ペリカ
384:login:Penguin
07/07/07 13:43:54 gAah8Via
習合って……双方の開発主体を知ってて言ってる?
だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
URLリンク(esashi.mobi)
ここいら見てみなよ。
あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。
385:login:Penguin
07/11/08 02:31:23 2bvNqaeb
SELinuxを有効化した導入は進んでますか?
386:login:Penguin
07/11/16 03:49:29 Mx9qhpa0
ubuntuでselinux入れてみた
動かない MLで揉めてるふいんきだw
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ ウーム
ぐぐってるとバグだらけのオカン
387:login:Penguin
07/11/16 08:08:20 ub3hseD8
>>386
ディストロに拘りがないなら Fedora にしてみたら?
今のところ、俺のところでは特に問題なく動いてるよ。
388:login:Penguin
07/11/17 21:10:08 67XJ07B1
>>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよw
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな 茨の道はまだまだ続く
389:login:Penguin
07/12/28 22:07:31 XM+yOsqH
・kernelに権限昇格の脆弱性がある
・WEBアプリ(PHPやCGI)に脆弱性があって、ローカルアタックかけられる状態
この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか?
390:login:Penguin
08/01/02 18:01:48 uxhAJiRr
age
391:login:Penguin
08/01/13 21:53:54 8SqKnp92
help me
SELinuxを勉強したいんで頑張ってます。
MySQLは起動してるんですが(シェルから入れる)
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。
392:login:Penguin
08/01/13 21:57:28 8SqKnp92
あ!httpd_can_network_connect_db=1にしたら接続できました!
お騒がせして申し訳ない。
393:login:Penguin
09/03/01 12:10:06 qMTRjR4D
ぬるぽ