SE (security enhanced) Linux at LINUX

---

2:login:Penguin
04/06/12 05:24 dVSdHyPT
(;´Д｀)????

3:login:Penguin
04/06/12 05:28 kuCpOOFG
3ｹﾞﾄｽﾞｻﾞ

4:login:Penguin
04/06/12 05:30 dVSdHyPT
('A`)ｲﾐﾜｶﾝﾈ
要するにﾊﾟｯﾁだろ？

5:login:Penguin
04/06/12 08:05 DVwbBeRx
audit®

6:login:Penguin
04/06/12 08:26 KdegLaEA
とりあえずは乙と生暖かく


7:login:Penguin
04/06/12 08:55 43k2CMkZ
>>1
アマゾンには何氏に逝ったんだ?
URLﾘﾝｸ(www.amazon.co.jp)


8:login:Penguin
04/06/12 09:23 OIQCzfwG
>>4
は？

9:login:Penguin
04/06/16 01:09 2l++u2H+
ユーザ会のOFFまだ～

10:login:Penguin
04/06/16 02:02 WATNKbkD
ルート晒してる鯖のハックに誰か成功した香具師はいないの？

11:login:Penguin
04/06/16 02:21 ktaupipD
成功した時点でニュースになるから安心しろ

12:login:Penguin
04/06/27 04:57 Mu8ZK00U
寂れてるな
このままじゃ廃れるぞ(w


13:login:Penguin
04/06/27 14:17 uRhKvMPw
日本で、しかも2chでどうなろうと全く影響ナシ。

14:login:Penguin
04/07/23 08:11 5GhB5HF3
てｓｔ

15:login:Penguin
04/07/23 18:54 HcRYODgK
URLﾘﾝｸ(www.nsa.gov)
↑SELinux
kernel-2.4.22でも2.6-based SELinuxインストールしちゃって
大丈夫なんでしょうか。

16:login:Penguin
04/07/30 19:48 9E7CH+IX
なぜにSEスレ盛り上がらないのだ

17:login:Penguin
04/07/30 20:24 Kfi83cOG
>16
多数のユーザー、管理者を抱えるサーバーの運用をしてる人が2chには少ないんだろう。

18:login:Penguin
04/07/31 01:44 7vS4wCE5
導入はしてみたいんだけど、億劫でなぁ

19:login:Penguin
04/08/17 07:49 BZyf7JAd
SELinuxは他のPC-UNIXに対するかなりの利点となるはずなのにもったいない。

20:login:Penguin
04/08/17 15:55 8obRHxyC
伸びねぇなあ

21:login:Penguin
04/08/17 18:13 UeldjsDo
普通、盛り上げたい人が自演で書き込んだりするもんなんだけどねえ。
SELinuxに通じた人は、そういう2chのテクニックがないのかな。

22:login:Penguin
04/08/17 18:18 jPdB50uI
SEXについて教えてｴﾛｲ人と言ってみるw

23:login:Penguin
04/08/17 19:37 ROSIbulh
新Debianがセキュリティ強化されるようだが
URLﾘﾝｸ(japan.linux.com)


それが"フロッピーやCDは自動マウントされない"
程度なのもアホらしいので、DebianユーザにseLinuxを！(ドキュメントの整備を！)

24:login:Penguin
04/08/18 00:28 BNTBJkHg
SELinux徹底ガイド
URLﾘﾝｸ(coin.nikkeibp.co.jp)
って良書ですか？

25:login:Penguin
04/08/21 00:46 S3rNV93e
Trusted Solaris とか SE Linux みたいな「セキュアOS」はまず運用ポリシー
ありきなのでドキュメント云々の前に個人レベルとか中小規模では初期導入や
運用のコストにメリットがつり合わない。専門スタッフを自前で用意できる
大規模な組織で無いかぎり普通はコンサルに頼んで導入するもんだと思うよ。

ワークステーションレベルでのセキュリティは >>23 あたりの話で
十分だし、これ以上のことやられてもうっとうしいだけ。

26:login:Penguin
04/08/23 09:23 A0A5mOCf
AGEますね

27:login:Penguin
04/09/01 00:00 +68aKaPB
SELinuxを使うとSEが儲かりそうだなー

設定がマンドクサげだし。

28:login:Penguin
04/09/01 00:38 AYBgVT+Y
URLﾘﾝｸ(www.ussg.iu.edu)

だそうです

29:login:Penguin
04/09/01 19:08 +68aKaPB
>>28
訳して。

30:login:Penguin
04/09/01 20:40 +ssOxYD1
SE Linuxって略するとSExだね。

31:login:Penguin
04/09/02 23:07 O3zW+HSa
競糞

32:login:Penguin
04/09/29 10:25:07 MInZSJ7n
使ってる奴はおらんかー

33:login:Penguin
04/10/05 18:41:16 7MqmP1jb
全てはこの検索することをまるで考えていないスレタイが悪い。
Linux板はセンスの欠片も感じられないスレばかり。

34:login:Penguin
04/10/08 18:41:27 4cEZ7X/u
もまいら一般人にはノーマルカーネルで十分

35:login:Penguin
04/10/08 18:43:17 biin1wBR
ＳヨＬｉｎｕｘ

36:login:Penguin
04/10/12 22:36:04 X1HIaQwU
ながながF通でSEやってるけどTrusted Solaris使ってるの見たことない。
なんかとんでもなくマンドクセらしいんじゃ。雨でもさっぱり
売れてないそうなんじゃ。
ましてやLinuxでそんなたいそうなもんなんか誰が使うんだ？

37:login:Penguin
04/10/14 02:36:15 TArUvgso
SELinuxもポリシーが穴なら、仏作って魂入れず。

38:login:Penguin
04/10/14 06:25:26 hxG9Eraz
Fedora Core 3からデフォルトでSELinux有効になるから、
そうなるとそれなりに利用者も増えると思うよ。
気づいてて使ってるかどうかは知らないけどね。

39:login:Penguin
04/10/14 19:25:47 D7VS4Ybx
そーなると、くだ質にぎやかな悪寒

40:login:Penguin
04/10/21 15:05:49 apkmihgO
予想通り、人居ないですね。
某所で分析されてたんですが、この分析結果は、大体いい線行ってるんでしょうかね？。
少々古いですが．．．
URLﾘﾝｸ(www.ipa.go.jp)

SELinux B1 相当
TrustedBSD B1 相当
OpenBSD C1 相当
PitBull Foundation B1 相当 （ITSEC E3 認定)
PitBull LX C2 相当
hp virtualvault B3 相当
hp secure OS software for Linux C2 相当
Openwall C1 相当
Trusted Solaris B1 相当 （EAL4 に認定)
LOMAC C2 相当
LIDS C2 相当
Medusa DS9 B1 相当
RSBAC B1 相当

41:login:Penguin
04/11/06 22:23:59 hiCn14Q6
URLﾘﾝｸ(www.selinux.gr.jp)
--- SELinux BOF 「SELinuxナイト」開催要領--
主催：日本SELinuxユーザ会準備委員会　日経Linux
日時：11月30日（火）
場所：青山スパイラルホール
地図: URLﾘﾝｸ(ac.nikkeibp.co.jp)
時間：18:00～20:00
参加費：無料

プログラム(仮)
● 18:00-18:05
- 主催者から一言
> 日本SELinuxユーザ会準備委員会
> 日経Linux
● 18:05-19:05セッション１
- SELinuxの最新動向(仮) 日本SELinuxユーザ会準備委員会 中村雄一(代理：日立ソフト　才所秀明）
- SELinuxカーネルハッキング(仮) NEC　海外浩平
- 商用セキュアOSとSELinux(仮) 日本高信頼システム　田口裕也
● 19:10-19:46 セッション2
- なぜSELinuxの設定はむずかしいのか（仮） 日本SELinuxユーザ会準備委員会 女部田武史
- 現場からみたSELinux(仮) 日本オープンソース推進機構　小島浩之
● 19:46-20:00 フリーディスカッション

42:login:Penguin
04/11/06 23:17:32 F+Nri/5I
>>41
講演担当者のジエンキター

43:login:Penguin
04/11/07 22:35:58 C19rajt1
唐揚よりはまし

44:login:Penguin
04/11/08 01:10:49 7w+L++m6
試しにgentooで使ってみてるけど、設定面倒だね。
まだ、enforceなんて出来ない。

gentoo特有(多分)の罠として、
udev使ってると、/devがramfsなのではまる。

45:login:Penguin
04/11/12 01:53:21 8mQ+1kTu
これ有効にしたら重くなる？

46:login:Penguin
04/11/12 21:55:55 DfpPyEmN
>>45
あまり気にならないけど。

FC3でちゃんとSELinuxの機能使う人はどれぐらいいるんだろう。

47:login:Penguin
04/11/16 05:01:48 JE4z9irv
>>46
インストールのとき速攻でオフにしちゃった
メジャーなディストリで標準搭載されたのはFedoraが初めてなので
急速にノウハウが蓄積されていくかもしれんし、RedHatあたりがGtk+使って
GUI設定ツールを書いてくれる可能性もある。
「よく分からない場合は切っとけ」で済まされる場合のほうが多そうだが...


48:login:Penguin
04/11/16 05:18:42 JE4z9irv
Windowsでいうところのパーソナルファイアウォール相当のこと
(netfilter/iptablesでやるパケットフィルタだけじゃなくて、アプリレベルでの
細かい通信制御)をSELinuxでできんかなと妄想してる。
もちろん機能には十分すぎるんだが、それを簡単に設定するための
フロントエンドをどう作るかが問題。

49:login:Penguin
04/11/16 23:04:54 r5Lrk2wd
>>48
人気でそうだ。つーか俺も欲しい。

50:login:Penguin
04/11/17 00:25:22 DGIX6dqn
>>48
デーモンの動いてるドメインとnode/portを対応させれば可能。
但し、ポリシーコンパイラがしょぼいので、書くのは大変…。

おまけにnode/port関連の性能ボトルネックがひどいんだよなぁ…。

51:login:Penguin
04/11/19 16:40:48 zSRgmM4L
初めて触ってみたが、結構概念が難しい。
SELinux を使いこなせるようになる道のりは遠い感じ。
で、こんなに難しいと普通のSEじゃ手が出ないので
余り普及しない(または使われない)悪寒。

52:login:Penguin
04/11/20 03:01:29 z6ctB+VG
デフォルト有効なのかよ！
これから勉強がたいへんだ

53:login:Penguin
04/11/20 06:57:05 CbAZaw0K
概念自体はそれほど難しくないんじゃない？
設定がたまらなく面倒だけど。

FC3ってデフォルトenforceモードなの？

54:login:Penguin
04/11/20 17:50:17 7hmqMeo8
これ、テスト用のマシンを用意して勉強しないといけないほど難しい？

55:login:Penguin
04/11/20 17:55:40 /C8/c61k
FC3についてのちょっとした紹介
URLﾘﾝｸ(www.itmedia.co.jp)

56:login:Penguin
04/11/20 22:46:41 SVVab55G
>>54
デフォルト有効と言ってもTargetポリシーだし、
自分が挙動に詳しいアプリケーションから設定を追加していけば
いいんではないでしょうか？

本当はポリシーコンパイラの記述能力が低いのが悪いと思うんだけどね。

57:login:Penguin
04/11/21 00:23:00 EedBRFSc
最低限必要なサービスだけにしておかないと、定義が死ぬほど面倒くさい。

FC3がどんなかわからないけど、普通のサーバなら、
危険性があるやつだけ設定するって言うのは良いかもね。

58:login:Penguin
04/11/24 21:51:12 GD/xCPVc
>>51
SEがつかえないSE Linux
語呂合わせにもならねぇ(w

59:login:Penguin
04/11/24 23:52:21 2XCOPo7B
これ使えないと負け組みですか？NSAに勝ちたいです。

60:login:Penguin
04/11/25 00:22:32 sSYcT8WT
>>59
使うと自動的にNSAに通報します。

61:login:Penguin
04/11/25 20:18:12 lUPgfwFJ
Debian sidにselinux-policy-defaultをインストールしようとしています。
しかし以下のようなエラーメッセージが出ます。何かヒントのようなものでもありますか？
ちなみにカーネルはselinux=1でブートし、その他の必要なパッケージは
coker.com.auから落として全てインストールしてあります。

# dpkg -D=3333 --configure selinux-policy-default
Setting up selinux-policy-default (1.16-1) ...
/usr/bin/checkpolicy: loading policy configuration from policy.conf
domains/program/cups.te:220:ERROR 'unknown type rpm_var_lib_t' at token ';' on line 100328:
allow cupsd_config_t rpm_var_lib_t:file { getattr read };
#line 220
/usr/bin/checkpolicy: error(s) encountered while parsing configuration
make: *** [/etc/selinux/policy/policy.18] Error 1
run-parts: /etc/dpkg/postinst.d/selinux exited with return code 2
"/bin/run-parts --arg=selinux-policy-default /etc/dpkg/postinst.d" failed: 256
dpkg: error processing selinux-policy-default (--configure):
1Error running trigger postinst: No such file or directory
Errors were encountered while processing:

62:login:Penguin
04/11/25 20:40:38 lUPgfwFJ
えっと、Debianなのにrpmなのが不味いのかと思って、
#grep -n rpm /etc/selinux/src/domains/program/cups.te
174:ifdef(`rpm.te', `
175:allow cupsd_config_t rpm_var_lib_t:dir { getattr search };
176:allow cupsd_config_t rpm_var_lib_t:file { getattr read };
213:allow cupsd_config_t rpm_var_lib_t:file { getattr read };

この213行目をコメントアウトしたら上手くいったようです。
# make -s -C /etc/selinux/src install
/usr/bin/checkpolicy: loading policy configuration from policy.conf
security: 4 users, 6 roles, 1431 types, 27 bools
security: 53 classes, 207684 rules
/usr/bin/checkpolicy: policy configuration loaded
/usr/bin/checkpolicy: writing binary representation (version 18) to /etc/selinux/policy/policy.18
Building file_contexts ...
Validating file_contexts ...

63:login:Penguin
04/11/25 20:48:57 lUPgfwFJ
と思ったらエラーが出てた。

/usr/sbin/load_policy: Warning! Error while getting boolean names: Success
/usr/sbin/load_policy: security_load_policy failed
make: *** [tmp/load] Error 3

にも関わらずselinux-policy-default自体のセットアップは終わったっぽい。
よく分からんね。

64:login:Penguin
04/11/25 20:51:03 MPLFWDrj
対応してる鳥使えばいいのに。

65:login:Penguin
04/11/25 22:12:04 hS75tvZu
興味あるのでがんばって下さい

66:login:Penguin
04/11/30 21:48:54 DNV7bnzT
>>41

情報　Thanx!
ナイトの会、行ってきたよ。
現状はまだまだ発展途上って感じだね。

ひとつ印象に残ったのは、ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり、商用ソフトだと
最悪、訴えられる可能性もあるらしいとの事。事実、過去そうゆう事例を憂慮した意見が内部であったらしい。
現状では、どこが最終的な責任をとるのだろうか？　JOSAO？

会場ではバイキング形式の軽食があった。案内に書いてないのはタダ飯食う香具師が来るのを避ける為
だろうか？　一言書いて欲しかったよ。

行く前に大盛りスパゲッティー食った俺は　ヽ(｀Д´)ノ




67:login:Penguin
04/11/30 22:54:20 Rci6pBJ3
>ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
>無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり

strace使うことがなんでリバースエンジニアリングなの？

68:login:Penguin
04/11/30 23:06:05 rGSC9TyP
straceかけなくても、ろぐにでるしね。

69:login:Penguin
04/12/01 01:18:09 kwnvX1mj
strace　　リバースエンジニアリング　でググれ。


70:login:Penguin
04/12/01 22:57:27 buBI+dND
>>66
ま、「食事」が目的じゃなかったしw
でもまぁ、あの時間帯設定だったら、みんなおなかすくだろうなとは思ってたけど。
ほぼ初心者でお話を聞かせて頂いていたのですが、ポリシー作るのってかなり難しいのね。
Hello World! であんなに手間掛かるとはw
使用しているライブラリの挙動すべてを把握しなければならないのは辛いね。
SELinuxの必要性はある（というか必須）、
でもそれを使うのは困難と。。。まだまだこれから、なのかなぁ。

71:login:Penguin
04/12/01 23:00:52 buBI+dND
ちなみに、Windows をセキュアOSにする製品もあるような話があった気がするけど、
ライセンス料以外で考えた場合でも、
WindowsベースのセキュアOS と SELinux だったら、SELinux の方に軍配？

72:login:Penguin
04/12/02 03:00:25 aSrOsSrn
>>71
オープンソースだからね。
究極的にWindowsは、M$の言う事を信じなければならない。
事象があくまでプログラムのバグだからな…。


73:login:Penguin
04/12/03 00:48:59 +ogIR13D
>>72
オープンソースだから安全ってわけでもないよね。
逆にソースが分かっているんだから攻撃箇所も分かるわけだし。
しかも、脆弱性とか見つかった時の修正までの時間ってWinの方が早いらしいし。
アタックやハッキングがLinuxの方がWinよりも少ないわけでもないから、
手放しで SELinux の方がいいのかどうか疑問。
WinでもLinuxでもハッキングされた時の被害がセキュアOSにより最小限になるのであれば、
SELinuxの優位性は価格だけなのだろうか？？？

74:login:Penguin
04/12/03 01:09:51 B+NBrjFL
モジラ組みもIISなんか使ってるからあんなことに・・・

75:login:Penguin
04/12/05 03:25:16 9/C1GsDJ
書き込み少ないね。セキュアOSスレとかだったらもっと集まるのかな？

76:login:Penguin
04/12/05 12:56:34 ftQG/iV+
>>75
普通のサーバに使うのは面倒くさすぎるからね。
他のってLIDSとかに限らず、Trusted Solarisとか？

77:login:Penguin
04/12/05 15:19:45 Xmb8f5R0
使ってるアプリケーションの動作を大体のところ分っているのなら、
そんなに難しくも面倒でもないのでは？

78:login:Penguin
04/12/06 17:54:39 JtISNBh9
セキュアＯＳカンファレンス乙

79:login:Penguin
04/12/21 01:00:45 d+cqoNK8
allow gikonavi_t 2ch_file_t:file r_file_perms;

80:login:Penguin
04/12/21 23:39:51 VGSNXL53
>>79
実行できないじゃん。

81:login:Penguin
04/12/31 08:56:30 1dLBL8OZ
SE Linuxを有効にしてるとapacheにてWebDAVを利用する際にある小細工をしないと動かないのがつらい。
デフォでONだし、調べてみたら結構いい感じだからね～

他に、不具合が出るものがあったら教えてくれ。
ちなみに、うんこvsftpdは問題ない。

82:login:Penguin
04/12/31 10:44:55 UohtONFB
>>81
vsftpdは平気なんですか。
認証とか平気ですか？shadowとかアクセスさせたくないんだけど。

83:login:Penguin
05/01/14 03:40:02 4A7mLCNI
普段リモートから管理するには、適当なユーザを作って
そのユーザにsysadm_rになれるようにして、
sysadm_rにしてからrootになれば良い?

84:login:Penguin
05/01/15 03:20:11 eumkuR6c
>>83
適当なユーザでログインして、suでrootになって、newroleでsysadm_rになるのが正解
レガシーUNIXの特権ユーザだとか一般ユーザという考え方は、SELinuxの世界には存在
しないものと心得られよ。

85:login:Penguin
05/01/19 12:52:53 r7Yfu5sx
selinux.jp死にっぱなし？

86:login:Penguin
05/01/19 15:36:25 o3yuXtEs
>>85
復活しても俺が速攻で落としてるからな。

87:login:Penguin
05/01/19 22:53:28 j8qcBS41
>>84
suがsetuidされてるから怒られるのね。
だからsysadm_rにしてからsuしてた。

rootじゃないと、普通のチェック(SELinuxの前)ではじかれるから、
rootになるのは必須なんだよね。

suを許可するのが筋なのかな。

88:SELinux
05/01/26 19:39:41 sf6NWb9/
SELinuxでshadowのファイルの権限を有効にしようとして、make reloadコマンド
を打つと、エラーが出てしまいます。
どうしてですか？

89:login:Penguin
05/01/26 20:25:41 SzWDCttT
FreeBSDからFedora Core3に乗り換えたけど
SELinux周りで死ぬほど苦しんでます。

詳しいページがあったら紹介してください。

90:login:Penguin
05/01/26 23:00:06 ZRGojEQb
>>89
sudo echo 0 > /selinux/enforce

91:login:Penguin
05/01/27 01:48:36 Nw7Qmux/
assert.teだね

92:SELinux
05/01/27 13:03:42 f6pf3IHI
>>90
一般ユーザで行うんですか？

93:89
05/01/27 16:01:12 zhnD52o8
>>90
まぁ、それも一つの解ではあるのだけど(笑)

Perlで書かれたスクリプトを実行したら
実行されているようなんだけど（ファイル出力処理で、出力している）
print してる部分がコンソールに表示されない
./test.cgi > hoge
だと、hogeファイルにprintしてる部分が出てる
SELinuxを無効にしたら、コンソールに表示される

-rwxr-xr-x oresama oresama system_u:object_r:httpd_user_content_t test.cgi

うーむ・・・

94:login:Penguin
05/01/28 09:17:29 B7+DaWB6
>>93
httpd_user_script_exec_t

95:login:Penguin
05/01/28 09:28:55 I4hBi6uy
日立ソフトがIPAから委託されて開発した
SELinux/AID使ってる人います？

Turboは認定トレーニングはじめるみたいだけどTurboLinux10の
製品解説みると売りにしてるから多分これが前提の講習だよね。
URLﾘﾝｸ(www.turbolinux.co.jp)

96:login:Penguin
05/02/01 03:23:15 R7wOcKfY
>>66

> 行く前に大盛りスパゲッティー食った俺は ヽ(｀Д´)ノ

いつでもハングリーでいきましょう

97:login:Penguin
05/02/01 03:24:56 R7wOcKfY
2.4.28/29にbackportしてSELinuxを運用している方おりますか？


98:login:Penguin
05/02/02 01:40:56 l83/Vdo8
SELinux運用してる例が少なそう

99:login:Penguin
05/02/02 03:29:08 S9tP/kMN
>1
間抜けなタイトルをつけたもんだな、間抜け。
このスレは、「selinux」で検索してもタイトルがひっかからない。
こんな間抜けなタイトルをつける底抜けにでも
FC3のはそれなりに使えてるみたいだ。

100:login:Penguin
05/02/02 09:34:24 xwsG9abH
>>99
Linux板のアホウはスレタイ一つまともに付けられないんです。
今に始まったことではありません。

101:login:Penguin
05/02/02 22:51:19 PrTo3fxY
これって、IPSとどう違うの？

102:login:Penguin
05/02/02 23:14:00 A0UaOl6X
>>1読めば分かるだろ？

103:login:Penguin
05/02/05 02:27:23 +zvHTRUn
流行りそうな予感


104:login:Penguin
05/02/05 05:45:06 xJZHVJAK
流行るかね。
まともに設定出来れば、一技能として認められるかな。

105:login:Penguin
05/02/05 10:38:50 +zvHTRUn
パッケージ選択数の多いディストリビューションは大変そう。


106:login:Penguin
05/02/09 02:51:55 XF0/Pgz5
検索しにくい。

107:login:Penguin
05/02/09 23:22:38 JqljQMs1
TURBOもだすんだっけ？

108:login:Penguin
05/02/11 00:49:53 Eo16XC6i
ターボはSELinuxができるのか
けっこう構築してノウハウたまったから採用したのかな


109:login:Penguin
05/02/20 23:03:24 +IFTBw6N
ターボは親会社が大変だな。
ちーそ

110:login:Penguin
05/02/21 22:04:22 ArwecXmM
このスレッド、書き込みが少なくてさみしいね。
SELinuxを使っている人はまだまだ限られているのかな？
デスクトップ用としてLinuxを使っている僕には無縁なものなのでしょうか？

111:login:Penguin
05/02/21 22:11:12 0hX35ns2
SELinuxを芹菜と呼ぼう

112:login:Penguin
05/02/23 05:33:48 CBKPp7c2
というか、こんなめんどくさいもの、流行らそうとしていること自体が悪

J●SA●のSELinux委員会の本人達がそう思っているんだから間違いない。
本家のNSA絡みの人たちもそう思っているんだから間違いない。

けど標準だ。やらなきゃ...orz

113:login:Penguin
05/02/25 00:19:30 f2uiMCq0
SELinux委員会なるものがあるのか！

114:login:Penguin
05/02/25 00:38:03 8B+HEoS8
Fedora coreを使っている人は結構簡単に使えちゃうような気が
するんだけど、実際どう？
じぶんFC２なんだけど、とりあえず有効にしてみた。
これから設定ツールをインストールして手探りでいろいろ試してみるつもり。

115:login:Penguin
05/02/25 08:28:52 hpEzNVNo
>>113
とりあえずこっちでもいいんじゃないか
URLﾘﾝｸ(www.37linux.jp)
会長ブログもあるぞ

116:login:Penguin
05/03/01 00:10:42 2S1ezsEn
>>115
これもターボがからんでいるとは


117:login:Penguin
05/03/01 08:25:58 nT2TU4zb
会長がおともだちのＰＣにリナックスを入れてくれるらしいぞ。
ﾊｧﾊｧ

118:login:Penguin
05/03/02 05:03:55 +4E0glIi
会長！ベットの中でSELinuxについて教えてください！

119:login:Penguin
05/03/10 17:17:53 yxaV5U7b
fcファイルを編集のち以下のようにコマンドを実行したのですが反映されて
いないらしく、httpd.confのログファイルの出力先を変更した場合にhttpdを
起動する事が出来ません。file_contextsには反映されているようです。
更に何かする必要があるのだと思うのですがどうしたら良いのでしょうか？。

fcファイルに追加
/abc/public_html(/.*)? system_u:object_r:httpd_sys_content_t

make reload
load_policy policy.18


120:login:Penguin
05/03/11 00:53:58 RaDjPhri
setfiles

121:login:Penguin
05/03/11 03:55:33 NJcMHUX0
>>119
変更範囲がわかってるなら、setfilesが速いけど、
make relabel っていうのが出来るはず。
あと、ログになんか出るんじゃない？

122:119
05/03/11 10:22:41 4gTW0GFK
>>120,121
messagesに出力されているログですがこれの事でしょうか。
Mar 11 09:39:11 hoge kernel: audit(1110501551.417:0): avc: denied { search } for pid=3664 exe=/usr/sbin/httpd
name=server dev=hda2ino=7733249 scontext=root:system_r:httpd_t tcontext=system_u:object_r:file_t tclass=dir

make relabelでは全てのポリシーを書き換えているので時間がかかるという考え方で良いのでしょうか。
setfilesでは変更したポリシーだけを書き換える事が出来るの早いのですね。setfiles単独の使い方が良くわかって
いないので後々、勉強して行きたいと考えております。

make reload
make relabel
/usr/sbin/load_policy /etc/selinux/targeted/policy/policy.18

コマンドの順番を変えてみたりしているのですがそれでもhttpd.confのパスを変更するとhttpdを起動出来なくなり、
上記と同等なログがメッセージに出力されます。
また、/etc/selinux/targeted/contexts/files/file_contextsには変更箇所が出力されています。

何が原因なのでしょうか？

123:login:Penguin
05/03/11 15:24:06 k3CAiL8Z
>>122
これも追加してみて
/abc system_u:object_r:httpd_sys_content_t

124:122
05/03/11 16:18:17 4gTW0GFK
>>123
/abc system_u:object_r:httpd_sys_content_tを追加する事で起動に成功しました。
他のファイルで通常の/から始まるディレクトリへのアクセスが許可されていて、
/からの新規ディレクトリを作成した場合には新たにルールを追加しなければ
ならないという事なのですね。

ありがとうございました。

125:122
05/03/11 17:12:41 4gTW0GFK
/abc
/htmlsystem_u:object_r:httpd_sys_content_t
/logsystem_u:object_r:httpd_log_t

という複数のサブディレクトリを用意した場合にはどうするべきなのでしょうか。

/abcsystem_u:object_r:httpd_sys_content_t
/abcsystem_u:object_r:httpd_log_t

では、make reload時にエラーとなります。

teファイルを覗いて見て、httpd_tを設定したら良さそうなので設定してみたら
make reloadは通ったのですがこういう設定に問題はないのでしょうか？


126:login:Penguin
05/03/11 17:14:29 k3CAiL8Z
>>124
ちなみに、/abc を system_u:object_r:httpd_sys_content_t にできない場合は
fcじゃなくてteファイルに、こんなのを追加してみるのもいいかも
--
allow httpd_t home_root_t:dir search;
--
home_root_t は"ls -dZ /abc"などで確認して適宜書き換えてください。
間違っても root_t とかにはしないほうがいいと思うけどね。

127:login:Penguin
05/03/11 17:18:32 k3CAiL8Z
>>125
/abc の後ろにスペース入れてる？

128:122
05/03/11 17:50:44 4gTW0GFK
>>　k3CAiL8Zさん
httpd_tはダメでした。relabelで弾かれてしまいました。
teファイルを変更しない場合には、read writeが許可されている
httpd_sys_content_tを使用するのが良いみたいでした。

teファイルの方は未だ変更の仕方が良くわかりませんが、
allow httpd_abcd home_root_t:dir search;
とする事で httpd_abcd をディレクトリに割り振り出来るという
事なのではないかと見ています。書き込んだ後に変更を加えて
確かめてみたいと想います。

/abcの後に空白はあります。同じディレクトリに複数の設定を
行うのは無理のようでした。

129:login:Penguin
05/03/11 18:13:28 k3CAiL8Z
>>128
勘違いしてるみたいだけど、やりたいことはfcに３行入れれば多分できるでしょう。
*.fc
--
/abc system_u:object_r:httpd_sys_content_t
/abc/html(/.*)? system_u:object_r:httpd_sys_content_t
/abc/log system_u:object_r:httpd_log_t
--

>>126 は
/abc をApache以外にも使うならteいじる必要あるかもしれないけど
という意味なので無視しといてください。

130:128
05/03/11 18:54:14 4gTW0GFK
>>129
あ、大丈夫です^^。fcの方には129と同じようにしてあります。

teの方はhttpd_tにはroot権限？とディレクトリの検索を許可します。
という意味に見えます。実際にはhome_root_tにも設定があり、
継承しているという事になるのでしょうか。根本的な所まで
追いかけないと見えてこないものが沢山ありそうです。



131:login:Penguin
05/03/11 19:35:00 k3CAiL8Z
>>130
Apacheでしか使わないならteいじんなくていいよ。
それ以外でも使うなら、"ls -aZ /abc"の結果でも教えて。

132:login:Penguin
05/03/13 04:29:00 Smjmhscy
SELinuxに詳しい人多いんだね。
オレも勉強しなくては



133:login:Penguin
05/03/18 22:12:04 cnaFhVSF
SELinuxで使用出来ない文字、または誤動作の要因となる文字などはあるのでしょうか？。
httpdにおいて同一ディレクトリ同一所有権パーミッションでありながら表示できる画像と
表示できない画像が存在します。SELinuxを無効にすると正しく表示されるのでSELinux
が関係しているのは間違いないと想われます。

表示できないケースでは以下のようになります。
You don't have permission to access　path on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.


134:login:Penguin
05/03/18 22:19:21 MrN6Qq1S
>>133
表示できるファイルと、そうでないファイルの"ls -Z"の結果は？
アクセスできなかったときに"/var/log/messages"になんて出る？
最低限これくらい書いてくれないと答えようもない

135:133
05/03/18 22:28:49 cnaFhVSF
>>134
申し訳ありません；。
$ ls -Z　ではディレクトリ内の全てのファイルが httpd_sys_content_t となっております。
アクセス出来なかったファイルの内、１つのファイルをha_b_012.jpg > ha.jpgに変更する
事でアクセスが可能となりました。そこで他のファイルでも_と数字を除きアクセスして
みましたが、こちらの方はアクセス出来ませんでした。

$ cat /var/log/messages
kernel: audit(1111151779.769:0): avc: denied { getattr } for pid=10813 exe=/usr/sbin/httpd
path=path dev=hda2 ino=7422115 scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file


136:133
05/03/18 23:03:37 cnaFhVSF
RHELのクローンですから当然、RHELにも同様の問題があると想われます。
つまり、SELinuxって予想以上に使われてないのですね。
SELinuxが返って穴にならなければ良いのですが；。

137:login:Penguin
05/03/18 23:12:36 SQmxFIAD
穴が開いてるのはおまえの脳味噌だろ。
運用出来るだけの知恵が無いんだからSELinuxはdisableにして正解だったな。

138:133
05/03/18 23:53:35 cnaFhVSF
>>137
好き勝手言って貰っても構いませんが何処が問題なのか指摘してください
.fcはphp(/.*)としてあり、問題となっているディレクトリはphp/abc/def/にあります

期待上げ！

139:133
05/03/18 23:59:59 cnaFhVSF
>>137
２行しか書けないFedraユーザーみたいだね
無理言ってすまない

140:login:Penguin
05/03/19 00:33:57 AdJo+AG7
アンチFedoraは例外無く池沼ばかりだなw

141:133
05/03/19 00:53:30 4vL6hAaV
>>140
うちにFedraもあるよ
ディストリを差別する気はありませんが特定の個人なら差別しても許せるかもね^^

142:login:Penguin
05/03/19 01:28:02 ilrOwGMs
言われたものだけじゃなくて可能性ありそうな設定全部書いてみれば？

143:login:Penguin
05/03/19 06:41:31 JM3a88Pg
audit2allow

144:133
05/03/19 09:26:07 4vL6hAaV
いろいろと試行錯誤し考えてみた結果、原因となる幾つかの要因が見えました。
httpdポリシーにおける設定変更自体には全く問題ありませんでしたが結果と
してアクセス出来るファイルとそうでないファイルが存在したのは間違い
ありません。対処方法もいくつか考えられますが実際にどれくらいのファイルが
影響を受けるのか現状のまま確かめて見たいと考えております。

ただ、総合的にSELinuxの役割として予想外の動作をしていたのは間違いありません。

145:login:Penguin
05/03/19 12:40:19 QodH++gB
>>135
単純に
tcontext=user_u:object_r:user_home_t tclass=file
だからじゃないの？

146:login:Penguin
05/03/19 23:26:26 YRe93jvD
home_tを読ませるように設定するか、
ファイルをきちんとラベル付けしなけりゃ問題があるのは
当たり前やろ。
DACで言うところの600root:rootのファイルが通常ユーザーでは
読めませんとかいう質問のようなもんだろ。

147:133
05/03/20 09:46:54 1Ea4E4Vw
以下のように同じディレクトリにあるファイルで差が出るのはおかしくはないのですか？。
home_tだからというなら理由なら、ほぼ同じ条件にある他のファイルが読めるというのは
納得が行きません。www以下にあるファイルは全てhttpd_sys_content_tが適応されている
はずであり、読めないのであれば全て読めないのが本来あるべき動作のはずです。
home_tだから読めないという事であるならば、Ｚで表示されている内容と実際の内容が
異なるという事だと想われますが如何でしょうか？。

www(/.*)?

ls -aZ
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha_b_012.jpg
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha.jpg

ls
ha_b_012.jpg　←　読めない
ha.jpg　←　読める



148:login:Penguin
05/03/20 11:34:48 TBDKXLZq
だからおかしいのはオマエの脳。脳に障害があるのにサーバ構築なんかムリだって。

149:login:Penguin
05/03/20 13:42:54 1Ea4E4Vw
>>148
初期設定Fedra君、自分のスレにお帰りなされ^^。

150:login:Penguin
05/03/20 13:58:48 TBDKXLZq
脳に障害がある奴は常にアンチFedoraであるという法則w

151:login:Penguin
05/03/20 14:11:10 TBDKXLZq
>>149
いいかい、君はアスペルガー症候群だ。
既に何度かそう診断された事があるだろ？
障害を持つ身で努力しようとする態度は立派だけどはっきり言って迷惑だから帰ってくれ。
警察とか消防隊員とか、障害者には出来ない仕事があるんだよ。技術者もその１つ。
社会に貢献したければ君に出来る仕事は他にいくらでもあるはずだ。
自分の身の丈に見合う事をやりなさい。

152:login:Penguin
05/03/20 16:18:35 1Ea4E4Vw
>>151
>FC4T1のgijで動いてるTomcat、abでちょっとベンチ取ろうとしただけで落ちる。
FC4の実験、お疲れさま^^
それから「アンチFedora」というフレーズを少しは変えようよ
せっかくIDが変わっているのだし、もう少し効果的な発言をしようね
次の面白い発言に期待していますよん

期待あげ！

153:login:Penguin
05/03/20 20:53:34 ki45pfhI
home_tのアトリビュートが取れないっていっているんだから、
/var/log/messagesの見てるところが違うんじゃないの。
まずパーミッシブにしてすべて動かしてみて、
引っかかる権限に対するルールを全て書き加えていけばいいじゃん。
（tail　-fしながら問題のある所をpermissiveでどういう
ログがでるか観察。）
SELinuxそのもののバグならバグの報告する。

154:133
05/03/20 21:21:46 1Ea4E4Vw
>>153
お返事ありがとうございます。
アクセスしているパスが異なる、また勘違いなどは第一に疑いましたが、full_pathの部分は
確かに表示されないファイルのフルパスになっております。また、messagesファイルを
監視しても同様の結果としかなりませんでした。
ただアクセスさせる為なら闇雲にルールの追加を行えば良いのですが、それではSELinuxの
稼働意味が損なわれてしまいます。
また何度か検証した結果、この事例が発生する行程が判明致しましたが何分、TBDKXLZqさん
がおっしゃるように私は脳を病んでいる事もあり、またＰＣ歴も20年と浅いので妄想として
心に閉まっておく事に致します。

ご協力してくださった皆様、ご迷惑をおかけしました。

kernel: audit(1111188853.244:0): avc: denied { getattr } for pid=2555 exe=/usr/sbin/httpd path=full_path dev=hda2
ino=7422115 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file


155:login:Penguin
05/03/20 21:39:44 ki45pfhI
SELinuxユーザー会のメーリングリストに投げてみたら？
ログにあった権限を追加していくのは、本当にログの
情報があってるかどうか確認する為で、その穴だらけの
状態で運用しろという意味じゃない。

156:login:Penguin
05/03/20 21:42:32 ki45pfhI
基本的には
検証＞確認＞システム、もしくはポリシーの編集＞検証に戻る
てな感じにやっていくしかないんじゃないの？
ドキュメントも少ないし、成熟もしていないわけだから、全て最初から
完成させる事ができるとは思わない方が良いのかなと
個人的には思います。

157:login:Penguin
05/03/21 01:19:41 Pg6EgOd7
なに、バグなの？

158:login:Penguin
05/03/21 01:22:18 ONFyNY6p
>>1
矢口真里写真集「OFF」

159:login:Penguin
05/03/21 13:03:52 RRoZFv1H
>>157
脳のバグ。

160:login:Penguin
05/03/21 13:51:20 jBLCHfdu
矢口ってちっちゃいけどかわいいよね。
モー娘。の中では一番、しっかりしていて頭が良いと思うよ。
ちゃんと勉強すればSELinuxぐらいマスターするんじゃないかな。


161:login:Penguin
05/03/21 21:45:36 RORt2abZ
１つハッキリしたのはMLを読んでいる奴が１人も居ないと事実だけだな

162:login:Penguin
05/03/21 22:41:00 RRoZFv1H
fedora-selinuxなら読んでるがw

163:login:Penguin
05/03/30 23:31:08 5Uz6Ix3e
クライアントには使えるの？

164:login:Penguin
皇紀2665/04/01(金) 07:25:06 r2NxX0YQ
Zend Optimizer(PHPのコード最適化エクステンション)が組み込まれないので悩んじまった。
httpdのエラーログには読み込みのパーミッションエラーで出てたのに、
インストールの設定に間違いない事しか確認してなかった。

勉強不足。徹底ガイド買ってきて勉強しよ

165:login:Penguin
05/04/02 15:38:39 IIOd+esG
安定ディス鳥でカーネル2.6採用してる所ってまだ少ないんですね

166:login:Penguin
05/04/02 20:21:03 iY/0s9iF
ポリシーのバージョンが19になる、カーネルはどれですか?
2.6.11でも18なんだけど、まだカーネルツリーには入ってないのかな。

167:login:Penguin
05/04/04 22:17:28 SuTxAeX/
セキュアOSとアクセス制御の勉強がしたいのですが、
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
「SELinuxシステム管理―セキュアOSの基礎と運用」
という本が2冊あるのですが、どちらのほうが詳しく書いてあるのですか？
どなたかご存知の方いらっしゃいますか？

168:login:Penguin
05/04/05 00:08:05 eXjYXAjT
>>167
徹底管理は日本で昔からセキュアOSに取り組んで来た人が書いた本なのでこちらを薦める。
もう一方は翻訳本。こちらのほうが新しく、内容も詳しくてリファレンス的。
でも最初に読む本としてはちょっと難しいかもしれない。

169:login:Penguin
05/04/05 00:08:46 eXjYXAjT
「徹底管理」じゃなくて「徹底ガイド」ね。

170:login:Penguin
05/04/05 00:32:58 6qYQ729W
いまどきFedoraCore1ベースの内容は古すぎないか？


171:login:Penguin
05/04/05 09:10:42 ujfSY/uD
>>168,169
詳細サンクスですm(__)m
早速注文して、勉強しようかと思います。

>>170
fedora 1ベースでも、SE Linux自体の設定は変わらないと思いますのでそこら辺は問題ないかと。
出版された時期が時期だから仕方ないでは？

172:login:Penguin
05/04/07 00:43:36 /slzzvEj
2冊しかないんだし、両方買っちゃえばいいじゃん

173:167
05/04/10 11:33:25 rXUX0agL
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
を購入しまして、ただ今勉強中なのです。

part1のセキュアOSの概要の中で、実際にwu-ftpdでの侵入をやっています。
自分のマシンにwu-ftpdを入れてローカルにて侵入してみたいのですが、ソースコードが見当たりません（侵入プログラムだからそう簡単に配布できないのは分かっています）
そこで、本の中でプログラムにつけられてた名前（ftpexploit）で検索をかけたら、それっぽいソースコードが引っかかりました。
URLﾘﾝｸ(www.hackemate.com.ar)

だけど、これ（コメント文が）英語ではないっぽいので使い方が分かりません。
どなたかご存知の方がいらっしゃったら教えてほしいのですが。
決して悪いことには使いませんので、宜しく御願いしますm(__)m。

174:login:Penguin
05/04/10 12:13:16 P0rRpkGQ
>>173
引数が1つしかなくて、あんなに短いソースなのに？

175:login:Penguin
05/04/10 12:19:17 JCyLqN7t
邪な心があるから読めないんだよw

176:167、173
05/04/10 12:50:56 rXUX0agL
>>174
言われてみれば、そこまで長いソースでないので頑張って読んでみます。
だけど、知らない関数が…

ちなみに、ソースコードの.arからアラビア語だと思って、翻訳かけたらすごいことに…
コメント文に何が書いてあるかちと知りたい。

177:login:Penguin
05/04/10 13:18:31 P0rRpkGQ
>>176
そのまま自動翻訳掛けてる時点でMake
Exploit C0D3D by [Hellraiser]を自分で訳してみな。

178:login:Penguin
05/04/10 13:31:10 2od0vbE4
アラビアって名前の国はないんでどうかひとつ

アラブ首長国連邦なら .ae
サウジアラビアなら .sa

世界のドメイン情報
URLﾘﾝｸ(www.benri.com)

179:login:Penguin
05/04/10 14:53:54 rXUX0agL
>>177
>Exploit C0D3D by [Hellraiser]を自分で訳してみな。
自分で訳したら、「Hellraiser（ヘルレイザー）によってC0D3Dを開発する」
って感じになるのですが....。

>>178
間違ってたみたいですね。
arだからアラビア圏のどっかだと思ってました。
.arは、アルゼンチンですね（言語はスペイン語）
ありがとうございますm(__)m




180:login:Penguin
05/04/10 15:25:30 XO5Kjlei
C0D3D ってのは coded って読むのだよ。

181:167、173、179
05/04/10 15:38:35 rXUX0agL
>>180
そうだったのですか。ありがとうございます。

ということは、「Hellraiser（ヘルレイザー）によって功績は暗号化された」ってことになります。
>そのまま自動翻訳掛けてる時点でMake
の意味が分かりました＠＠

182:login:Penguin
05/04/18 18:09:48 GyZFJyyz
googleで調べりゃくさるほどコード出てくるけどな
もっとよく探してから聞けよ

なんか話がそれてるな


183:login:Penguin
05/05/02 00:02:16 nQQXjlrv
Oracleのポリシーできた？
ってか、日本オラクルは作ってくれないの？



184:login:Penguin
05/05/12 22:47:07 JM0i3cbl

URLﾘﾝｸ(www.nsa.gov)

HTTP/1.1 200 OK
Connection: close
Date: Thu, 12 May 2005 13:37:45 GMT
Server: Microsoft-IIS/6.0

どこまでほんと？

185:login:Penguin
05/05/28 19:24:31 SZbGwWIV
ﾊｧ?

186:login:Penguin
05/05/30 00:13:44 KWwFz+yC
>>184
ヘッダ情報だけだからいくらでも偽装できる

187:login:Penguin
05/05/30 08:40:40 iZPaZpQK
>>184
Windows Serverっていうのは本当っぽいよ。
OSとWeb Serverを表示させるHPでやってみたら、

OS:Windows Server 2003
Web Server:Microsoft-IIS/6.0

って出てきたから。

188:login:Penguin
05/05/30 08:57:51 i64dRy21
流石NSAだ
俺らはWindowsだろうと堅固に出来るぜということか

189:login:Penguin
05/06/21 23:35:20 k46Hhdg9
age

190:login:Penguin
05/07/14 05:17:41 TFsXQ32L
　

191:login:Penguin
05/07/22 03:52:12 WIaeG04T
ＮＳＡによる壮大な釣り・・・・だと思う

192:login:Penguin
05/07/22 09:58:25 ymZGW3HP
Windowsの方がLinuxより堅牢にするのは簡単そうだ
Windows： 穴がすぐ出来るがすぐ塞がる
Linux： 穴がなかなか出来ないがなかなか埋まらない
だからな

193:login:Penguin
05/07/23 01:23:00 OG8etS/6
>>192
もうすでに発表から何ヶ月も過ぎている穴がいくつもポコポコあいてますが・・・
MSは穴を塞ぐ気がないようですが・・・
簡単ですか・・・そうですか・・・

194:login:Penguin
05/08/03 12:52:41 oR/NUpKB
>>192
お前はアホか？
Windows : 穴がすぐ見つかる上にMSにその気がなければ、平然と何ヶ月も放置。全てはMSの気分次第。
Linux : Windows同様、穴が見つかる事も多々あるが、オープンソースコミュニティにより、誰かがその穴を塞ぎすぐにパッチがでる。

195:login:Penguin
05/08/03 13:11:10 kkYvCA+6
>>194
＞誰かがその穴を塞ぎ
ここが弱い。近年どんどん弱まってる。保証も無い。

MSの場合、気分次第とは言ってられないから必ず穴は塞がれる。

196:login:Penguin
05/08/03 20:24:58 E0to4R2W
URLﾘﾝｸ(headlines.yahoo.co.jp)

だとよｗ


197:login:Penguin
05/08/04 17:05:15 YSDGc6SO
>>195
MS狂信者が何故ここに？
URLﾘﾝｸ(www.google.com)

198:login:Penguin
05/08/14 21:14:51 q9taHhbq
make　clean

199:login:Penguin
05/08/17 14:17:36 jxiwnKnn
-bash: make　clean: command not found

200:login:Penguin
05/08/20 08:12:24 t4rnP1is
コマンドまたはファイル名が違います


201:login:Penguin
05/09/07 01:47:37 elRriIGS
newrole -r 2ch_r

202:login:Penguin
05/09/07 14:08:57 0G7ZHT98
RHEL4 で初めて SELinux であたふたしたんですが
FC4 使ってる人達はあたふたしないもんなんでしょうか。
このスレは非常に平穏に過ぎてるなあ。

203:login:Penguin
05/09/07 15:28:50 t3rUMEED
>>202
速攻でSEは殺すから大丈夫ですよ

204:login:Penguin
05/09/07 16:58:45 KYtN4k3E
SELinux Policy Editor　使うと楽なの？

205:login:Penguin
05/09/07 17:10:20 CRe7RktX
いいえ

206:login:Penguin
05/09/07 18:41:35 0G7ZHT98
(使えない)SEは(誰かが)頃すから
(使えるSEだけになるので)
大丈夫ですよ。

207:login:Penguin
05/09/08 00:26:59 nZgiZuQI
fedora core 1にSE Linuxを組み込んでいろいろしてたのを考えると、
fedora core 3、4のほうがめちゃ楽。

208:login:Penguin
05/09/08 10:52:58 kfF39xdr
RHEL4 で、SELinuxを簡単に設定する方法ないですかね？


209:login:Penguin
05/09/08 18:48:36 y+gQmP+M
SE Linux の設定と言うけれど

1. setenforce 0 で殺した
2. コンテキストを与えまくった
3. bool を変えまくった
4. 俺専用ポリシーを作成した

どの辺りまで実践してるんだろう。

210:login:Penguin
05/09/08 19:55:10 u+Mb3QrM
>>209
４　が簡単な方法。。。があれば。orz...
LIDS 　の方が簡単そうで良いけどね。

211:名無しさん＠そうだ選挙に行こう
05/09/11 20:38:39 yYfCHbsY
セキュリティはいつの時代も難しいね。
SELinuxもそのうち慣れそうと思ったけど

212:login:Penguin
05/09/12 15:05:48 fUDuQO6Y
>>209

0.Fedoraインスコ時、チェックボックスをクリック(デフォ？) orz

213:login:Penguin
05/09/12 15:52:33 i50Yk/Pv
>>211
でも、全然なれない。複雑すぎ。orz

>>212
その画面で警告にするんだよね？

214:login:Penguin
05/09/13 09:25:39 VSGAA3Pf
複雑って言うか面倒だよなあ。。

xinetd から立ち上げるサービスが有ったとして
個々のサービスについて複雑にアクセス制御できるんだろうか？
とりあえずオライリーのSELinux本買ってきたけど
読み終わるまでしばらくかかりそうな薬缶。

215:login:Penguin
05/09/13 11:06:05 yr4ZJwvi
>>214
その手のは出来るよ。

厳格に運用するマシンじゃないとただ面倒なだけだね。

216:login:Penguin
05/09/13 17:36:43 /MCEH955
domain_auto_trans(inetd_t,***_exec_t,***_t)
で分けられそうじゃん

217:login:Penguin
05/09/27 00:35:06 W9xcpqf7
ターボってSELinux入っているのね。
セキュアOSもホリエモンか

218:login:Penguin
05/10/11 23:20:11 r8plUfZk
勉強会あるみたいだよ

219:login:Penguin
05/11/25 02:58:44 kxWbPbG4
セキュアOS盛り上がらないね
なぜ？

220:login:Penguin
05/11/25 06:00:43 dkeSDxLD
URLﾘﾝｸ(www.atmarkit.co.jp)

221:login:Penguin
05/12/15 22:15:40 Qqr6E85d
SELinuxシンポジウムに行く香具師はいないのか？

222:login:Penguin
05/12/25 13:04:17 ZucL9yrx
SELinuxも何かあるのか。。

米国家安全保障局（ＮＳＡ）の国内盗聴問題で、米紙ニューヨーク・
タイムズ（電子版）は２３日、盗聴などの情報収集は、複数の通信会社
の協力を得て通信網の根幹部分に直接アクセスして行われ、得られた
情報量はホワイトハウスが確認しているよりもはるかに大量である可能性
がある、と報じた。

同紙によると、ＮＳＡがアクセスしていたのは、米国の通信回線と国外
の通信回線をつなぐ「スイッチ」と呼ばれる交換機に当たる部分。当局者らは
「大規模データ採掘作戦」と呼び、電話や電子メールの発信地や送り先、
日時や通話時間などのパターンを分析。２００１年の米中枢同時テロ以降は、
特にアフガニスタン絡みの通信に注意していたという。

主要通信会社の元技術担当責任者によると、複数の通信会社が通信
データを保存、テロリストの捜索を支援するため、連邦政府にデータを
提供。ＮＳＡで以前勤務していた専門家によると、当局はこの技術を利用
するため、通信会社に対し、米国を経由する国際通信量を増やすよう
働き掛けていたという。

URLﾘﾝｸ(www.sankei.co.jp)

223:login:Penguin
05/12/25 18:31:59 aP6RzIW/
俺がソース読んだ限りでは変な記述は見当たらなかったが、
それほど自分のスキルに自信があるわけでもないので言い切れない(笑)

224:login:Penguin
06/02/15 00:40:42 CtdekGRh
ここでいいのかわからんけれど

/home/oreore/public_html に user_u:object_r:httpd_sys_content_t
にしているわけで

これだと、FTPやSambaからアクセスできないです
ちょっとした CGI を作ろうと思ってここまできましたが

どうすればいいでしょう？

225:login:Penguin
06/02/28 02:11:12 EuS24R+g
allow ftpd_t httpd_sys_content_t:file r_file_perms;
allow samba_t httpd_sys_content_t:file r_file_perms;

226:login:Penguin
06/03/14 23:05:02 AZmBKFnA
>>225
ありがとう
うまくいきました

227:login:Penguin
06/03/14 23:39:58 /Js5s5In
>>225
それだと、ファイル生成やサブディレクトリへのアクセスができない。
allow {ftpd_t samba_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t samba_t} httpd_sys_content_t:dir create_dir_perms;

の方がより適切

228:login:Penguin
06/03/20 23:27:52 VQ85yjvJ
最小権限をどこまで最小権限にするのかの見極めが難しいな

229:login:Penguin
06/03/22 00:51:02 UqoYLMbZ
確かに
アクセスできたことで、安心してしまっていた

>227
samba_t まわりでエラーが出ます
まぁ、FTP使えればいいんですけどね

230:login:Penguin
06/03/23 11:30:16 62GALYzX
allow {ftpd_t smbd_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t smbd_t} httpd_sys_content_t:dir create_dir_perms;

を apache.te に入れたらうまくいきました
ありがとうございます

231:227
06/03/26 20:28:58 27E7HmkK
>>230
すまん、samba_tじゃなかった。

あと、CGIを動かす場合には httpd_sys_script_exec_t 付けるのを忘れないようにねん。


232:login:Penguin
06/03/29 03:00:12 HQBRg2uP
たいして勉強もしないでSELinux難しいって言うやつ多いよ

233:login:Penguin
06/03/29 08:03:39 CvH+CUAc
難しいんじゃなくて面倒くさい。

234:login:Penguin
06/03/29 08:03:40 9P02Nfg2
面倒くさい→難しい
ってことなんじゃね？


235:login:Penguin
06/03/29 08:05:07 9P02Nfg2
1秒差かよｗ

236:login:Penguin
06/03/29 11:44:57 UP8y3H8S
>>232
勉強しなきゃいけないから、難しい
って理屈は通りませんか？

237:login:Penguin
06/03/29 11:49:59 QcX2cin5
難しいから勉強するんじゃね?

238:login:Penguin
06/03/29 21:35:47 HQBRg2uP
iptablesとかsnortもSELinuxを同じくらい面倒ではないか

239:login:Penguin
06/03/30 01:35:10 KGSVIhop
日本語で(ｒｙ

240:login:Penguin
06/03/30 03:13:52 UbuRNvya
めずらしくレスあるな。
SELinuxとTOMOYOLinuxできればどこでも転職できます
ぐらいの売り込みすればみんなOFFにしないんじゃん
実際まだ扱える人材は少ないけど、注目度は高いんだし

241:login:Penguin
06/03/30 23:42:31 vYvTHlZE
とりあえず今からVine用にポリシーを書いて安定動作させられるだけの人材なら転職が楽だと思う

242:login:Penguin
06/03/31 03:54:04 c2Q2PtAv
今はSELinuxを扱える人材を募集している会社がまだそんなになさそう。
そのうちLinuxを扱うエンジニアには必須項目になってくると思うけどね。

243:login:Penguin
06/03/31 12:19:46 E8eNEfyd
本気か？
こんなめんどくさいもん入れるやつは出てこないよ。

244:login:Penguin
06/03/31 13:29:50 cBe4lNwk
面倒だからこそメシの種になるんじゃないのか

245:login:Penguin
06/03/31 15:37:39 UiGwZxlZ
ここにもいるであろう”SELinuxを扱える人”って、MLSやらDTEやらRBACやらのセキュリティポリシーモデルもちゃんとお勉強したの？？

246:login:Penguin
06/03/31 19:33:26 E8eNEfyd
>>244
客は理解できないから発注しない。

247:login:Penguin
06/03/31 23:36:30 AEimUosf
つうか、SELinuxのポリシーを業務で *本当に* 扱えるってことは、システムの要件全体や
全プロセスの挙動、業務フローまで全部理解してるはずじゃない？
それだけのスキルがあればSELinux抜きでもメシを食えると思う
Hello Worldレベルの設定で喜んでるなら別だけど

248:login:Penguin
06/03/32 01:43:32 JDoyVCsD
targetedならできそうじゃね？

249:login:Penguin
06/04/04 23:03:35 dbz5rSMH
FedoraCore5のSELinux触った？
新しくなっててよくわからなくなってるし

250:login:Penguin
06/04/04 23:39:02 Nxd02Sjx
FedoraCore5のMCSにはバグがあるから気をつけろ。

251:login:Penguin
06/04/05 00:33:30 RyEzmfa8
アメリカの軍事機関産なんてもんは
ウィルス流し込むのと変わらん

252:login:Penguin
06/04/05 00:33:48 18+Z0sd8
MCSにバグあるのか。そもそもMCSをよく理解してないけど。。

253:250
06/04/05 00:36:27 v5+HM8wU
プロセスのカテゴリ間遷移に何の制約もかかってないので、結局どんなカテゴリを設定したところで

% runcon -l SystemLow-SystemHigh /bin/bash
一発でアクセス可能になってしまうという…。


254:login:Penguin
06/04/05 08:12:00 kamtW6c3
>>251
そうだな。

255:login:Penguin
06/04/05 12:34:02 fw77qyCk
ネットの技術なんてアメリカの軍事から産まれたの多くないか？
日本だと防衛庁がつくれば日本人エンジニアも納得って感じか？

256:login:Penguin
06/04/06 07:25:54 oviNSQ1N
それなんて富士通？

257:login:Penguin
06/04/06 11:28:37 YEiCHFN4
それってWindowsUpdateはウイルス流し込むのと変わらない
と言っているのと同じ気がするけど

258:login:Penguin
06/04/07 01:08:46 6DBpvXFo
SystemLow-SystemHigh ってなんだ？
また新しい機能はいったん？

259:250
06/04/07 15:32:43 niRmaLXj
>>258
それがMCSクオリティ

デフォルトの設定で、全てのカテゴリを包含する(全てのカテゴリに権限を有する)カテゴリに対して付けられたエイリアス
要するに、カテゴリ0～カテゴリ255まで全部ってことだな。

/etc/selinux/targeted/setrans.conf 見れ

#
# Multi-Category Security translation table for SELinux
#
# Uncomment the following to disable translation libary
# disable=1
#
# Objects can be categorized with 0-256 categories defined by the admin.
# Objects can be in more than one category at a time.
# Categories are stored in the system as c0-c255. Users can use this
# table to translate the categories into a more meaningful output.
# Examples:
# s0:c0=CompanyConfidential
# s0:c1=PatientRecord
# s0:c2=Unclassified
# s0:c3=TopSecret
# s0:c1,c3=CompanyConfidentialRedHat
s0=
s0-s0:c0.c255=SystemLow-SystemHigh
s0:c0.c255=SystemHigh


260:login:Penguin
06/04/08 19:50:52 iy4/n+cL
Fedora Core 5 にして、現在後悔中
どうやってポリシーいじればいいんだ・・・

261:login:Penguin
06/04/08 21:02:53 st9vL7l7
FC4→FC5は別物だな


262:250
06/04/10 00:01:01 C/cakVDw
URLﾘﾝｸ(seibun.nosv.org)

SELinuxの71%は罠で出来ています
SELinuxの13%は情報で出来ています
SELinuxの8%は気の迷いで出来ています
SELinuxの8%は理論で出来ています

なんか笑えた。結構合ってるような気が…。

263:login:Penguin
06/04/10 11:34:49 yj7wkDKQ
>>262
ﾜﾛﾀ

やっぱりfedoraは危険だなぁｗ

264:login:Penguin
06/04/11 20:16:14 SajR50yj
>>262
exe版と結果が違うんだが。

265:login:Penguin
06/04/11 21:32:30 BhjOi48X
ってかMLSとか、MCSって必要なの？
いままでの仕組みで十分じゃね？

266:sage
06/04/11 21:40:45 GCPU4MAU
MCSはすっごく使いやすいで。

ポリシー全く編集せずに特権分割まがいのことができる。

267:login:Penguin
06/04/11 21:52:15 BhjOi48X
カテゴリーごとに分割するだけでいいってことかな。
勉強してみよう。

268:login:Penguin
06/04/16 12:51:52 3ADQtYrD
SELinuxを有効にして運用しているサイトってどれぐらいあるの？

269:login:Penguin
06/04/16 21:38:44 Nq8scThW
# ls -Z
が出来なくなりました

[root@xxxx ~]# ls -Z
Sorry, this option can only be used on a SELinux kernel.

こんなメッセージが出ます。
どこを直したら良いでしょうか？教えてください。

270:269
06/04/16 21:52:19 Nq8scThW
自己解決しました。
SELinux Policy Editor　を導入したためでした。

お騒がせしてすいませんでした。

271:login:Penguin
06/04/18 21:31:04 H2PkL+Ho
ラッセルって誰ですか？

272:sage
06/04/18 21:39:30 6edQt34n
>>271
赤帽の人です

273:login:Penguin
06/04/18 22:06:21 H2PkL+Ho
なるほど。赤帽の人ですか。
日本で勉強会するために来日とかですか


274:login:Penguin
06/05/01 03:48:11 GQZu5Odn
ラッセルは何しにきたの？

275:login:Penguin
06/05/03 16:22:37 FbhDLGnH
ここの過去ログかなり参考になったのであげときます

許可されていない操作です　で拒否られないようにっと＞＜

276:login:Penguin
06/05/12 01:33:15 VCbRI40x
政府が日本版SELinuxを税金でつくるらしいね。ホントかよ
TOMOYOでいいような気もするけど

277:login:Penguin
06/05/12 16:50:02 okAGl8Ef
>>276
さすがにwinnyで情報流出のTVいっぱい流してたし、そういう流れでしょ

278:login:Penguin
06/05/13 00:50:37 LU0QM1Pb
ブッシュ大統領、NSAによる米国内の通話データ収集を擁護
URLﾘﾝｸ(japan.cnet.com)

こういう印象がNSAにはあるから、SELinuxを政府では使いたくなくて、
日本版をつくるってこと？

279:login:Penguin
06/05/13 14:21:03 Wq9uQuZR
>>276
>>278の話もあるけど、
そんなことするなら、SELinuxの検証した方がいい気がする。

TOMOYOでもいいけど、RBACはこれからも予定はないんだろうか。

280:login:Penguin
06/05/13 15:50:09 LU0QM1Pb
OSSなのに何か仕込まれているのかなあ？
バレたときいいわけできないじゃん
まあおエライ人の考えることだしねえ

281:login:Penguin
06/05/16 10:55:12 pcXHQYws
>>278-280
文句言う前に、とりあえず喪前らソースでも読めよと。

282:login:Penguin
06/05/17 22:36:52 1oMw1vmW
政府の役人はNSAってだけで怖いんだな

283:login:Penguin
06/05/23 22:05:47 LUJq97y9
国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表

　開発を進める「次世代OS環境」は、WindowsやLinuxなどをゲストOSとして稼動
させることのできるVM（Virtual Machine）環境をイメージし、このVM環境に
セキュリティ機能を組み合わせた「セキュアVM」と呼ぶ環境の構築を目指す。

URLﾘﾝｸ(internet.watch.impress.co.jp)

これのこと？

284:login:Penguin
06/05/25 02:18:55 Vs8NYI9S
ゲストOSにSELinuxつかうの？


285:login:Penguin
06/05/26 14:23:37 3bfbfETV
URLﾘﾝｸ(enterprise.watch.impress.co.jp)

どこらへんが対応なんだかわからん。

286:login:Penguin
06/05/27 01:54:56 HE5H6UoF
ServerProtect用のポリシーがついてくるとかｗ

287:login:Penguin
06/06/01 23:43:14 oI4VC7+d
こんなもんに金かける前に
I18N を主導して欲しかったよ。

288:login:Penguin
06/06/02 02:11:35 uuFyJyYw
LinuxWorld行った？

289:login:Penguin
06/06/02 22:42:11 hcD+Nubh
LinuxConrefence行った？

290:login:Penguin
06/06/04 20:52:17 b5BKM+1t
LinuxWorld行けなかった。。。
SELinuxネタは多かったの？

291:login:Penguin
06/06/05 23:15:37 v5HTa0C4
>290
もう右を向いても左を向いてもSELinuxって感じだったよ。


292:login:Penguin
06/06/06 15:30:58 Y8NRdPWo
ホントかよ！
なのに導入事例はいっさい聞いたことがない。。。

293:login:Penguin
06/06/07 04:55:55 4ZlW1/UC
前や後ろを向いたら違うものが見えてそうだ。

294:login:Penguin
06/06/08 20:55:09 RikEnc/R
LIDSとAppArmorが見える

295:login:Penguin
06/06/13 13:53:08 bfyV1Zm2
SELinux　　　　　　　　Sex
AppArmor　　　　　　　Armor

コンドーム！！

296:login:Penguin
06/06/13 22:43:07 HL9I0jGj
SEXは
「Security-Enhanced X」
のことだよね

297:login:Penguin
06/06/28 21:06:46 LVP+o8HQ
2006年度UNIX/Linuxセキュリティ実践講座開催のご案内
URLﾘﾝｸ(www2.tamacc.chuo-u.ac.jp)

298:login:Penguin
06/07/02 21:27:58 S6c6I++3
いまさらだが、なにこのスレタイ

"SELinux"で検索することぐらい普通考えられるだろ

299:login:Penguin
06/07/03 00:55:52 hS22+TsM
>>33

300:login:Penguin
06/07/08 11:39:20 eo7Tt5Hp
＞＞２９８

Security Enhanced Linuxはアメリカでは、略してセックスと呼ばれることが多いので、
セックスもスレタイに入れたほうがよい。

Sexurity Enhanced linuX = SEX



301:login:Penguin
06/07/08 21:12:37 dC5O/xFW
>>300
は？SE-XはSecurity Enhanced X (X Window System)のことだ。
SELinuxについて100万回勉強してから釣れ。

302:login:Penguin
06/07/09 16:44:46 rI2bNedh
なんか設定ツールができたらしいね

100万回勉強したら高待遇で転職できるかも

303:login:Penguin
06/07/11 13:01:25 1lcYrZ+i
あと99万と8600回くらいだなぁ・・・

304:login:Penguin
06/07/12 08:09:47 X5kF2WB6
なにをもって一回と数えるの？

305:login:Penguin
06/07/13 01:02:36 Qfpp8B6o
checkpolicyを実行してポリシーをビルドした回数でいいんじゃね？

306:login:Penguin
06/07/13 05:30:16 TZueCr6q
一日100回はビルドするから…1万日か。無理だｗ

307:login:Penguin
06/07/13 20:57:38 Qfpp8B6o
>>306
長生きしないとな。

308:login:Penguin
06/07/13 21:33:21 //G/Y/i2
並列処理しよう

309:login:Penguin
06/07/14 00:28:11 jt/F/kIF
お仕事で鯖立てている人で、ポリシー設定を1からやらなきゃいけない場合どうやってる？

1.いきなりStrictにして1からゴリゴリポリシー定義
2.targetedで起動→もとから定義されているポリシーを基に必要なポリシーを定義。不必要なポリシーは捨てる
3.ポリシーエディタでGUIマンセーと言いながらポチポチ…
4.SELinuxマンドクセ(´Ａ｀)から使わない。クラッキング？されないよ。


さぁ、どれ？

310:login:Penguin
06/07/14 08:42:38 /litWvkG
>>309
４
鯖移行の時間的猶予がなかったから
そこまで手が回らんかった

311:login:Penguin
06/07/14 09:34:59 fzToeWsD
セキュリティコンテキストの粒度が粗すぎる。
手間のわりに得られるものが小さい。

312:login:Penguin
06/07/14 11:22:31 Au5mkboI
>>309
1かな。SELinuxとポリシのバージョンにもよるけど
基本的には一つ一つつぶしていく。
おかげでシステムに変更があるたびにひぃひぃ言ってるけどねー。

>>311
というと？network周りの粒度はだめすぎだけど、どの辺が粗いの？
security contextってラベルのことで、粒度じゃないんだが…。
標準のポリシで宣言されてるsecurity contextが粒度が粗いってこと？

313:login:Penguin
06/07/15 03:54:37 o7cn6VKH
結局strict使わないとガマンできなくなってきた
targetedじゃ不満なの

314:ひﾟょん♂
06/07/21 18:21:36 vpOGPyfK BE:756669896-
WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく！

315:login:Penguin
06/07/26 01:51:01 E/yMm3qA
URLﾘﾝｸ(ja.wikipedia.org)
これだな

316:login:Penguin
06/07/28 20:01:21 naP4/z2F
>>314 さん、残念！

317:login:Penguin
06/07/29 01:05:53 ooO7KrP9
GFDL違反だったのね。はやく直してね

318:ひﾟょん♂
06/07/30 18:46:31 7OZFwZRa BE:168148962-2BP(11)
ｏｒｚ　
ひﾟょん♂はめげないびょん！　
みんなの努力は無駄にしないびょん！

319:login:Penguin
06/08/08 02:17:53 kKxQ5ddh
/etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)

どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。

ちなみにOSはCentOS4.3です。

320:login:Penguin
06/08/09 08:31:49 sAXh/maJ
おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん（ｗ


321:login:Penguin
06/08/09 13:03:21 EvfB/Ijo
よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ﾟДﾟ)oﾌﾞﾝﾌﾞﾝ

322:login:Penguin
06/08/10 11:49:00 BuQH6vVh
>>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況？
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな？

てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目？

323:login:Penguin
06/08/10 19:48:38 P0AUZ9Cm
>>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする？と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。

sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。

対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。

/etc/init.d/postgresqlがいいサンプルです。いじょ



324:319
06/08/11 20:54:13 FuajfgM8
>>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。

ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。

325:login:Penguin
06/08/12 01:52:44 zNJFRxv2
そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ？

326:login:Penguin
06/08/12 01:56:48 lXyPDQFa
労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。

jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。

327:login:Penguin
06/08/12 13:00:38 qaCnxs+9
まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。

守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。

328:login:Penguin
06/08/13 15:10:02 MX6/xln0
ACLでもroot権限がある限り意味なくね？

329:login:Penguin
06/08/13 15:24:08 9z7pAa4b
rootのっとられたらそりゃ終わりさ。

330:login:Penguin
06/08/14 01:06:55 n3hb6PHF
管理者権限奪取を防ぐのがSELinuxじゃないの？
企業とか個人とかの問題ではないような

331:login:Penguin
06/08/14 01:23:14 6sxGzDLo
管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。

でも全Linuxerの何%がポリシー作るところからやってるのかな？

332:322
06/08/14 13:06:55 PGuDhi6G
>>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり？

>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば？という話になるし。
（POSIX ACL。Kernel2.6以降で利用可）

>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用）
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。

まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。

333:login:Penguin
06/08/14 23:17:47 6sxGzDLo
>332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)

>人間業じゃなくて神業の領域だけど。
だよねえ。。

334:login:Penguin
06/08/14 23:45:50 n3hb6PHF
TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー

335:323
06/08/15 21:20:16 2nHPUtyi
>>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
　# And start it up.
　if [ -z "$user" ]; then
　　$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
　else
　　$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
　fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。

336:login:Penguin
06/08/16 15:29:47 fEuPMp3H
これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能？

337:login:Penguin
06/08/18 13:01:52 TZakQUvB
SELinuxって実はけっこう使われているの？
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから

338:login:Penguin
06/08/18 13:49:56 GqAwobo6
Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。

339:login:Penguin
06/08/24 01:15:31 jMRHgiY/
unconfined_tってフルアクセス権じゃないってこと？

340:login:Penguin
06/09/19 03:54:30 SAA96Un5
思ったほど難しくないよね

341:319
06/10/07 01:49:39 0VQxcj1l
結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。

このスレも廃れてますね…

342:login:Penguin
06/11/24 22:38:24 wx5gf/fe
誰か、これわかる？
URLﾘﾝｸ(bbs.fedora.jp)

343:login:Penguin
06/11/26 02:08:18 fQeoc878
SELinux儲かってる？

344:login:Penguin
06/12/04 23:54:45 g4pIfnK5
>>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ

継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、５年後位には変更が
超困難なシステムになってそう。


345:login:Penguin
06/12/08 02:26:01 uYBNBzil
メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない？
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない？



346:login:Penguin
06/12/14 01:16:38 FEduJ84b
そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。

非常にうまいパズルみたいな設定を思いついても、未来の自分とか５年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。


347:login:Penguin
07/01/01 14:03:54 ZA4pg8/A
サーバのセットアップは10%が設定で90%がドキュメント書きです。

348:login:Penguin
07/01/01 17:06:03 cCEHaAby
しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・


349:login:Penguin
07/01/01 21:18:49 ZA4pg8/A
あるあ・・・・・



・・・ある

350:login:Penguin
07/02/03 21:22:32 genGKaeR
SEEdit使えるディス鳥だと滅茶苦茶楽なのね

351:login:Penguin
07/02/03 23:18:08 Mbd9W+hX
>>350
debianにも対応して欲すい。

352:login:Penguin
07/02/03 23:58:53 95H1oCnY
SLIDE
URLﾘﾝｸ(oss.tresys.com)

353:login:Penguin
07/02/04 01:24:01 JEZbmpW6
>>352
うーむ。玄人向けのツールでつねw。

354:login:Penguin
07/02/04 15:36:22 5jUhfyFG
restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。

355:login:Penguin
07/02/04 18:51:49 weMH9ex9
>>354
どういうこと?

356:login:Penguin
07/02/14 02:14:49 7vXpsxj1
ｽﾚﾘﾝｸ(mac板:64-66番) によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです

357:login:Penguin
07/02/14 02:58:07 m4IlMoGA
セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。

SEBSDだってSEDarwinだってあるのにねー。

まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。

358:login:Penguin
07/02/14 08:58:01 niX0xEiK
Debian sidでSELinuxを有効にしてみた。

URLﾘﾝｸ(wiki.debian.org)

を見てやってみた。とりあえずpassiveモードで動かすことにしよう。

動かした後は、

URLﾘﾝｸ(fedora.redhat.com)

に書かれていることの方が詳しいらしい。英語だけど。

359:login:Penguin
07/02/14 16:28:27 1y5ZKtbN
慣れれば簡単だよ。がんばれ！

360:login:Penguin
07/02/15 03:14:44 m3smwIxK
今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった

Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった

しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。

どうやったらSamba使ってのファイルの移動ができるようになりますか？
SELinuxをオフとかPassiveモードはなしでお願いします。

361:login:Penguin
07/02/15 03:57:07 m3smwIxK
げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったｗ
Linux触って1ヶ月も経たない俺じゃ無理だな

SELinux OFF。。。

362:login:Penguin
07/02/15 08:57:40 43dnQNxp
SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。

363:login:Penguin
07/02/16 01:34:40 wqIfZsXx
SELinuxでSamba使えるようにするおまじないってあるのか？
もれは挫折したよｗ

364:login:Penguin
07/02/20 03:52:53 Ca1ZTyX/
samba_enable_home_dirs

365:login:Penguin
07/02/21 09:08:43 LnST7+x3
こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。

こういうものは、GUIツールで
カテゴリ別に分類し、
説明（当然日本語）を横に併記するツールを
使わないと手におえない。

昔のアドベンチャーゲームみたいだよ。
しっているか？ 昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。

「go west」「open door」見たいにね。
こんなの今やりたいと思う？

366:login:Penguin
07/02/22 10:08:59 Npz4O/wL
GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。

367:login:Penguin
07/02/22 17:04:53 sTb3TkGi
>>365
polish pillar

368:login:Penguin
07/02/23 01:34:09 qdcf1zF9
>>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った

369:login:Penguin
07/03/11 08:22:06 wX/2NnTP
SEポスグレってすごいの？

370:login:Penguin
07/04/06 01:06:33 UPWHeFdH
で、誰か実際につかっているの？

371:login:Penguin
07/04/06 04:13:38 cKBkkTOC
ノ

372:login:Penguin
07/04/08 14:11:42 LO1Xtzj3
/opt以下につっこんであるやつの設定を追加しようとしたけど
元々の/optのが優先されててだめぽ
なんか悔しいぞ


373:login:Penguin
07/04/10 02:00:50 hMSFLh9c
↑？

374:login:Penguin
07/04/10 02:54:48 rNCKWXPT
Security Contextを貼り付けたいんだけど、
既に定義が書かれていてコンフリクトした挙句、
元々のが優先されるって意味だと解釈してみるテスト

375:login:Penguin
07/04/22 01:35:18 PB4N3AEh
>>374
semanageでファイルコンテキストを設定できるにょ。

376:login:Penguin
07/05/10 18:20:01 BLf25W9d
えっと
今 CentOS 5.0 + Apache 2.2.3 + SELinux でドツボにはまってます。
google先生に聞いても埒があかない状態で困ってます。

まずは、ここにあることは全部やったんです。
URLﾘﾝｸ(bbs.fedora.jp)

だけど
chcon -R -t public_content_rw_t public_html
をやると、cgi(Perl記述のもの) が正常に実行されません。
Internal Server Error です。

/var/log/httpd/suexec.log をみると
「cannot get docroot information (/home/user1)」が出ています。

suexecは有効になっていません。(apachectl -V って実行すれば確認できるんですよね？)
setenforce 0 をすると動くし、
/sbin/restorecon -RF public_html をすると動くんです。

もし、何らかのヒント、キーワードなどを提示できる方がいらっしゃいましたら、ご教示お願いします。

377:login:Penguin
07/05/10 19:18:43 NluEhGm9
えーと、俺まだ4.4使ってるんで詳しいことは分からないのだが、まずはgetseboolしてごらん。

378:376
07/05/11 14:21:27 Nl1Y51hb
えっと、すいません。
getsebool -a 眺めてもさっぱりわかりませんでした。

んで、その中に
httpd_enable_ftp_server
なんてものを見つけて、これをONにしたら、

chcon -R -t public_content_rw_t public_html
/usr/sbin/setsebool -P allow_ftpd_anon_write 1
/usr/sbin/setsebool -P allow_smbd_anon_write 1

これらをやらなくてもちゃんと FTP で読み書きできるじゃないですか。。。

Sambaでのpublic_htmlは、便利とともに、問題も感じていたので、
この際、FTPベースでの運用に切り替えたいと思います。

どうもありがとうございました。

379:377
07/05/11 14:35:57 Yp1rNt+V
実験環境の5で見てみたけど
man httpd_selinuxしても、まだhttpd_enable_ftp_serverの説明はないみたいだね。
一応、httpd_selinuxのmanが書かれた時期は
public_content_*_tにすることでSambaやらhttpdやらで共有できるようにはなるとある。
…まぁ、targetedならsambaにせよ、幾つかseboolのフラグ変えるだけで問題ないんだけどね。

380:login:Penguin
07/06/16 21:03:04 TVeCm9rc
seeditの*.deb版マダー？

381:login:Penguin
07/06/21 19:27:53 Li79wnCV
URLﾘﾝｸ(www.atmarkit.co.jp)

382:login:Penguin
07/06/30 23:12:48 k22DBsYL
>>381
> URLﾘﾝｸ(www.atmarkit.co.jp)

でも、まだまだSELinuxって使いにくいよねぇ。


383:login:Penguin
07/07/04 12:50:00 53ILzz44
TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
１００００００ペリカ


384:login:Penguin
07/07/07 13:43:54 gAah8Via
習合って……双方の開発主体を知ってて言ってる？

だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
URLﾘﾝｸ(esashi.mobi)
ここいら見てみなよ。

あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。

385:login:Penguin
07/11/08 02:31:23 2bvNqaeb
SELinuxを有効化した導入は進んでますか？

386:login:Penguin
07/11/16 03:49:29 Mx9qhpa0
ubuntuでselinux入れてみた
動かない　MLで揉めてるふいんきだｗ
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ　ｳｰﾑ
ぐぐってるとバグだらけのｵｶﾝ

387:login:Penguin
07/11/16 08:08:20 ub3hseD8
>>386
ディストロに拘りがないなら Fedora にしてみたら？
今のところ、俺のところでは特に問題なく動いてるよ。

388:login:Penguin
07/11/17 21:10:08 67XJ07B1
>>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよｗ
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな　茨の道はまだまだ続く

389:login:Penguin
07/12/28 22:07:31 XM+yOsqH
・kernelに権限昇格の脆弱性がある
・WEBアプリ（PHPやCGI）に脆弱性があって、ローカルアタックかけられる状態

この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか？


390:login:Penguin
08/01/02 18:01:48 uxhAJiRr
age

391:login:Penguin
08/01/13 21:53:54 8SqKnp92
help me

SELinuxを勉強したいんで頑張ってます。

MySQLは起動してるんですが（シェルから入れる）
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。

392:login:Penguin
08/01/13 21:57:28 8SqKnp92
あ！httpd_can_network_connect_db=1にしたら接続できました！
お騒がせして申し訳ない。

393:login:Penguin
09/03/01 12:10:06 qMTRjR4D
ぬるぽ

---

最新レス表示

レスジャンプ

類似スレ一覧

スレッドの検索

話題のニュース

おまかせリスト

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch