06/04/10 00:01:01 C/cakVDw
URLリンク(seibun.nosv.org)
SELinuxの71%は罠で出来ています
SELinuxの13%は情報で出来ています
SELinuxの8%は気の迷いで出来ています
SELinuxの8%は理論で出来ています
なんか笑えた。結構合ってるような気が…。
263:login:Penguin
06/04/10 11:34:49 yj7wkDKQ
>>262
ワロタ
やっぱりfedoraは危険だなぁw
264:login:Penguin
06/04/11 20:16:14 SajR50yj
>>262
exe版と結果が違うんだが。
265:login:Penguin
06/04/11 21:32:30 BhjOi48X
ってかMLSとか、MCSって必要なの?
いままでの仕組みで十分じゃね?
266:sage
06/04/11 21:40:45 GCPU4MAU
MCSはすっごく使いやすいで。
ポリシー全く編集せずに特権分割まがいのことができる。
267:login:Penguin
06/04/11 21:52:15 BhjOi48X
カテゴリーごとに分割するだけでいいってことかな。
勉強してみよう。
268:login:Penguin
06/04/16 12:51:52 3ADQtYrD
SELinuxを有効にして運用しているサイトってどれぐらいあるの?
269:login:Penguin
06/04/16 21:38:44 Nq8scThW
# ls -Z
が出来なくなりました
[root@xxxx ~]# ls -Z
Sorry, this option can only be used on a SELinux kernel.
こんなメッセージが出ます。
どこを直したら良いでしょうか?教えてください。
270:269
06/04/16 21:52:19 Nq8scThW
自己解決しました。
SELinux Policy Editor を導入したためでした。
お騒がせしてすいませんでした。
271:login:Penguin
06/04/18 21:31:04 H2PkL+Ho
ラッセルって誰ですか?
272:sage
06/04/18 21:39:30 6edQt34n
>>271
赤帽の人です
273:login:Penguin
06/04/18 22:06:21 H2PkL+Ho
なるほど。赤帽の人ですか。
日本で勉強会するために来日とかですか
274:login:Penguin
06/05/01 03:48:11 GQZu5Odn
ラッセルは何しにきたの?
275:login:Penguin
06/05/03 16:22:37 FbhDLGnH
ここの過去ログかなり参考になったのであげときます
許可されていない操作です で拒否られないようにっと><
276:login:Penguin
06/05/12 01:33:15 VCbRI40x
政府が日本版SELinuxを税金でつくるらしいね。ホントかよ
TOMOYOでいいような気もするけど
277:login:Penguin
06/05/12 16:50:02 okAGl8Ef
>>276
さすがにwinnyで情報流出のTVいっぱい流してたし、そういう流れでしょ
278:login:Penguin
06/05/13 00:50:37 LU0QM1Pb
ブッシュ大統領、NSAによる米国内の通話データ収集を擁護
URLリンク(japan.cnet.com)
こういう印象がNSAにはあるから、SELinuxを政府では使いたくなくて、
日本版をつくるってこと?
279:login:Penguin
06/05/13 14:21:03 Wq9uQuZR
>>276
>>278の話もあるけど、
そんなことするなら、SELinuxの検証した方がいい気がする。
TOMOYOでもいいけど、RBACはこれからも予定はないんだろうか。
280:login:Penguin
06/05/13 15:50:09 LU0QM1Pb
OSSなのに何か仕込まれているのかなあ?
バレたときいいわけできないじゃん
まあおエライ人の考えることだしねえ
281:login:Penguin
06/05/16 10:55:12 pcXHQYws
>>278-280
文句言う前に、とりあえず喪前らソースでも読めよと。
282:login:Penguin
06/05/17 22:36:52 1oMw1vmW
政府の役人はNSAってだけで怖いんだな
283:login:Penguin
06/05/23 22:05:47 LUJq97y9
国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表
開発を進める「次世代OS環境」は、WindowsやLinuxなどをゲストOSとして稼動
させることのできるVM(Virtual Machine)環境をイメージし、このVM環境に
セキュリティ機能を組み合わせた「セキュアVM」と呼ぶ環境の構築を目指す。
URLリンク(internet.watch.impress.co.jp)
これのこと?
284:login:Penguin
06/05/25 02:18:55 Vs8NYI9S
ゲストOSにSELinuxつかうの?
285:login:Penguin
06/05/26 14:23:37 3bfbfETV
URLリンク(enterprise.watch.impress.co.jp)
どこらへんが対応なんだかわからん。
286:login:Penguin
06/05/27 01:54:56 HE5H6UoF
ServerProtect用のポリシーがついてくるとかw
287:login:Penguin
06/06/01 23:43:14 oI4VC7+d
こんなもんに金かける前に
I18N を主導して欲しかったよ。
288:login:Penguin
06/06/02 02:11:35 uuFyJyYw
LinuxWorld行った?
289:login:Penguin
06/06/02 22:42:11 hcD+Nubh
LinuxConrefence行った?
290:login:Penguin
06/06/04 20:52:17 b5BKM+1t
LinuxWorld行けなかった。。。
SELinuxネタは多かったの?
291:login:Penguin
06/06/05 23:15:37 v5HTa0C4
>290
もう右を向いても左を向いてもSELinuxって感じだったよ。
292:login:Penguin
06/06/06 15:30:58 Y8NRdPWo
ホントかよ!
なのに導入事例はいっさい聞いたことがない。。。
293:login:Penguin
06/06/07 04:55:55 4ZlW1/UC
前や後ろを向いたら違うものが見えてそうだ。
294:login:Penguin
06/06/08 20:55:09 RikEnc/R
LIDSとAppArmorが見える
295:login:Penguin
06/06/13 13:53:08 bfyV1Zm2
SELinux Sex
AppArmor Armor
コンドーム!!
296:login:Penguin
06/06/13 22:43:07 HL9I0jGj
SEXは
「Security-Enhanced X」
のことだよね
297:login:Penguin
06/06/28 21:06:46 LVP+o8HQ
2006年度UNIX/Linuxセキュリティ実践講座開催のご案内
URLリンク(www2.tamacc.chuo-u.ac.jp)
298:login:Penguin
06/07/02 21:27:58 S6c6I++3
いまさらだが、なにこのスレタイ
"SELinux"で検索することぐらい普通考えられるだろ
299:login:Penguin
06/07/03 00:55:52 hS22+TsM
>>33
300:login:Penguin
06/07/08 11:39:20 eo7Tt5Hp
>>298
Security Enhanced Linuxはアメリカでは、略してセックスと呼ばれることが多いので、
セックスもスレタイに入れたほうがよい。
Sexurity Enhanced linuX = SEX
301:login:Penguin
06/07/08 21:12:37 dC5O/xFW
>>300
は?SE-XはSecurity Enhanced X (X Window System)のことだ。
SELinuxについて100万回勉強してから釣れ。
302:login:Penguin
06/07/09 16:44:46 rI2bNedh
なんか設定ツールができたらしいね
100万回勉強したら高待遇で転職できるかも
303:login:Penguin
06/07/11 13:01:25 1lcYrZ+i
あと99万と8600回くらいだなぁ・・・
304:login:Penguin
06/07/12 08:09:47 X5kF2WB6
なにをもって一回と数えるの?
305:login:Penguin
06/07/13 01:02:36 Qfpp8B6o
checkpolicyを実行してポリシーをビルドした回数でいいんじゃね?
306:login:Penguin
06/07/13 05:30:16 TZueCr6q
一日100回はビルドするから…1万日か。無理だw
307:login:Penguin
06/07/13 20:57:38 Qfpp8B6o
>>306
長生きしないとな。
308:login:Penguin
06/07/13 21:33:21 //G/Y/i2
並列処理しよう
309:login:Penguin
06/07/14 00:28:11 jt/F/kIF
お仕事で鯖立てている人で、ポリシー設定を1からやらなきゃいけない場合どうやってる?
1.いきなりStrictにして1からゴリゴリポリシー定義
2.targetedで起動→もとから定義されているポリシーを基に必要なポリシーを定義。不必要なポリシーは捨てる
3.ポリシーエディタでGUIマンセーと言いながらポチポチ…
4.SELinuxマンドクセ(´A`)から使わない。クラッキング?されないよ。
さぁ、どれ?
310:login:Penguin
06/07/14 08:42:38 /litWvkG
>>309
4
鯖移行の時間的猶予がなかったから
そこまで手が回らんかった
311:login:Penguin
06/07/14 09:34:59 fzToeWsD
セキュリティコンテキストの粒度が粗すぎる。
手間のわりに得られるものが小さい。
312:login:Penguin
06/07/14 11:22:31 Au5mkboI
>>309
1かな。SELinuxとポリシのバージョンにもよるけど
基本的には一つ一つつぶしていく。
おかげでシステムに変更があるたびにひぃひぃ言ってるけどねー。
>>311
というと?network周りの粒度はだめすぎだけど、どの辺が粗いの?
security contextってラベルのことで、粒度じゃないんだが…。
標準のポリシで宣言されてるsecurity contextが粒度が粗いってこと?
313:login:Penguin
06/07/15 03:54:37 o7cn6VKH
結局strict使わないとガマンできなくなってきた
targetedじゃ不満なの
314:ぴょん♂
06/07/21 18:21:36 vpOGPyfK BE:756669896-
WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく!
315:login:Penguin
06/07/26 01:51:01 E/yMm3qA
URLリンク(ja.wikipedia.org)
これだな
316:login:Penguin
06/07/28 20:01:21 naP4/z2F
>>314 さん、残念!
317:login:Penguin
06/07/29 01:05:53 ooO7KrP9
GFDL違反だったのね。はやく直してね
318:ぴょん♂
06/07/30 18:46:31 7OZFwZRa BE:168148962-2BP(11)
orz
ぴょん♂はめげないびょん!
みんなの努力は無駄にしないびょん!
319:login:Penguin
06/08/08 02:17:53 kKxQ5ddh
/etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)
どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。
ちなみにOSはCentOS4.3です。
320:login:Penguin
06/08/09 08:31:49 sAXh/maJ
おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん(w
321:login:Penguin
06/08/09 13:03:21 EvfB/Ijo
よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ゚Д゚)oブンブン
322:login:Penguin
06/08/10 11:49:00 BuQH6vVh
>>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況?
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな?
てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目?
323:login:Penguin
06/08/10 19:48:38 P0AUZ9Cm
>>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする?と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。
sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。
対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。
/etc/init.d/postgresqlがいいサンプルです。いじょ
324:319
06/08/11 20:54:13 FuajfgM8
>>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。
ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。
325:login:Penguin
06/08/12 01:52:44 zNJFRxv2
そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ?
326:login:Penguin
06/08/12 01:56:48 lXyPDQFa
労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。
jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。
327:login:Penguin
06/08/12 13:00:38 qaCnxs+9
まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。
守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。
328:login:Penguin
06/08/13 15:10:02 MX6/xln0
ACLでもroot権限がある限り意味なくね?
329:login:Penguin
06/08/13 15:24:08 9z7pAa4b
rootのっとられたらそりゃ終わりさ。
330:login:Penguin
06/08/14 01:06:55 n3hb6PHF
管理者権限奪取を防ぐのがSELinuxじゃないの?
企業とか個人とかの問題ではないような
331:login:Penguin
06/08/14 01:23:14 6sxGzDLo
管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。
でも全Linuxerの何%がポリシー作るところからやってるのかな?
332:322
06/08/14 13:06:55 PGuDhi6G
>>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり?
>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば?という話になるし。
(POSIX ACL。Kernel2.6以降で利用可)
>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用)
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。
まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。
333:login:Penguin
06/08/14 23:17:47 6sxGzDLo
>332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)
>人間業じゃなくて神業の領域だけど。
だよねえ。。
334:login:Penguin
06/08/14 23:45:50 n3hb6PHF
TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー
335:323
06/08/15 21:20:16 2nHPUtyi
>>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
# And start it up.
if [ -z "$user" ]; then
$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
else
$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。
336:login:Penguin
06/08/16 15:29:47 fEuPMp3H
これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能?
337:login:Penguin
06/08/18 13:01:52 TZakQUvB
SELinuxって実はけっこう使われているの?
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから
338:login:Penguin
06/08/18 13:49:56 GqAwobo6
Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。
339:login:Penguin
06/08/24 01:15:31 jMRHgiY/
unconfined_tってフルアクセス権じゃないってこと?
340:login:Penguin
06/09/19 03:54:30 SAA96Un5
思ったほど難しくないよね
341:319
06/10/07 01:49:39 0VQxcj1l
結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。
このスレも廃れてますね…
342:login:Penguin
06/11/24 22:38:24 wx5gf/fe
誰か、これわかる?
URLリンク(bbs.fedora.jp)
343:login:Penguin
06/11/26 02:08:18 fQeoc878
SELinux儲かってる?
344:login:Penguin
06/12/04 23:54:45 g4pIfnK5
>>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ
継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、5年後位には変更が
超困難なシステムになってそう。
345:login:Penguin
06/12/08 02:26:01 uYBNBzil
メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない?
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない?
346:login:Penguin
06/12/14 01:16:38 FEduJ84b
そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。
非常にうまいパズルみたいな設定を思いついても、未来の自分とか5年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。
347:login:Penguin
07/01/01 14:03:54 ZA4pg8/A
サーバのセットアップは10%が設定で90%がドキュメント書きです。
348:login:Penguin
07/01/01 17:06:03 cCEHaAby
しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・
349:login:Penguin
07/01/01 21:18:49 ZA4pg8/A
あるあ・・・・・
・・・ある
350:login:Penguin
07/02/03 21:22:32 genGKaeR
SEEdit使えるディス鳥だと滅茶苦茶楽なのね
351:login:Penguin
07/02/03 23:18:08 Mbd9W+hX
>>350
debianにも対応して欲すい。
352:login:Penguin
07/02/03 23:58:53 95H1oCnY
SLIDE
URLリンク(oss.tresys.com)
353:login:Penguin
07/02/04 01:24:01 JEZbmpW6
>>352
うーむ。玄人向けのツールでつねw。
354:login:Penguin
07/02/04 15:36:22 5jUhfyFG
restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。
355:login:Penguin
07/02/04 18:51:49 weMH9ex9
>>354
どういうこと?
356:login:Penguin
07/02/14 02:14:49 7vXpsxj1
スレリンク(mac板:64-66番) によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです
357:login:Penguin
07/02/14 02:58:07 m4IlMoGA
セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。
SEBSDだってSEDarwinだってあるのにねー。
まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。
358:login:Penguin
07/02/14 08:58:01 niX0xEiK
Debian sidでSELinuxを有効にしてみた。
URLリンク(wiki.debian.org)
を見てやってみた。とりあえずpassiveモードで動かすことにしよう。
動かした後は、
URLリンク(fedora.redhat.com)
に書かれていることの方が詳しいらしい。英語だけど。
359:login:Penguin
07/02/14 16:28:27 1y5ZKtbN
慣れれば簡単だよ。がんばれ!
360:login:Penguin
07/02/15 03:14:44 m3smwIxK
今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった
Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった
しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。
どうやったらSamba使ってのファイルの移動ができるようになりますか?
SELinuxをオフとかPassiveモードはなしでお願いします。
361:login:Penguin
07/02/15 03:57:07 m3smwIxK
げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったw
Linux触って1ヶ月も経たない俺じゃ無理だな
SELinux OFF。。。
362:login:Penguin
07/02/15 08:57:40 43dnQNxp
SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。
363:login:Penguin
07/02/16 01:34:40 wqIfZsXx
SELinuxでSamba使えるようにするおまじないってあるのか?
もれは挫折したよw
364:login:Penguin
07/02/20 03:52:53 Ca1ZTyX/
samba_enable_home_dirs
365:login:Penguin
07/02/21 09:08:43 LnST7+x3
こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。
こういうものは、GUIツールで
カテゴリ別に分類し、
説明(当然日本語)を横に併記するツールを
使わないと手におえない。
昔のアドベンチャーゲームみたいだよ。
しっているか? 昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。
「go west」「open door」見たいにね。
こんなの今やりたいと思う?
366:login:Penguin
07/02/22 10:08:59 Npz4O/wL
GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。
367:login:Penguin
07/02/22 17:04:53 sTb3TkGi
>>365
polish pillar
368:login:Penguin
07/02/23 01:34:09 qdcf1zF9
>>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った
369:login:Penguin
07/03/11 08:22:06 wX/2NnTP
SEポスグレってすごいの?
370:login:Penguin
07/04/06 01:06:33 UPWHeFdH
で、誰か実際につかっているの?
371:login:Penguin
07/04/06 04:13:38 cKBkkTOC
ノ
372:login:Penguin
07/04/08 14:11:42 LO1Xtzj3
/opt以下につっこんであるやつの設定を追加しようとしたけど
元々の/optのが優先されててだめぽ
なんか悔しいぞ
373:login:Penguin
07/04/10 02:00:50 hMSFLh9c
↑?
374:login:Penguin
07/04/10 02:54:48 rNCKWXPT
Security Contextを貼り付けたいんだけど、
既に定義が書かれていてコンフリクトした挙句、
元々のが優先されるって意味だと解釈してみるテスト
375:login:Penguin
07/04/22 01:35:18 PB4N3AEh
>>374
semanageでファイルコンテキストを設定できるにょ。
376:login:Penguin
07/05/10 18:20:01 BLf25W9d
えっと
今 CentOS 5.0 + Apache 2.2.3 + SELinux でドツボにはまってます。
google先生に聞いても埒があかない状態で困ってます。
まずは、ここにあることは全部やったんです。
URLリンク(bbs.fedora.jp)
だけど
chcon -R -t public_content_rw_t public_html
をやると、cgi(Perl記述のもの) が正常に実行されません。
Internal Server Error です。
/var/log/httpd/suexec.log をみると
「cannot get docroot information (/home/user1)」が出ています。
suexecは有効になっていません。(apachectl -V って実行すれば確認できるんですよね?)
setenforce 0 をすると動くし、
/sbin/restorecon -RF public_html をすると動くんです。
もし、何らかのヒント、キーワードなどを提示できる方がいらっしゃいましたら、ご教示お願いします。
377:login:Penguin
07/05/10 19:18:43 NluEhGm9
えーと、俺まだ4.4使ってるんで詳しいことは分からないのだが、まずはgetseboolしてごらん。
378:376
07/05/11 14:21:27 Nl1Y51hb
えっと、すいません。
getsebool -a 眺めてもさっぱりわかりませんでした。
んで、その中に
httpd_enable_ftp_server
なんてものを見つけて、これをONにしたら、
chcon -R -t public_content_rw_t public_html
/usr/sbin/setsebool -P allow_ftpd_anon_write 1
/usr/sbin/setsebool -P allow_smbd_anon_write 1
これらをやらなくてもちゃんと FTP で読み書きできるじゃないですか。。。
Sambaでのpublic_htmlは、便利とともに、問題も感じていたので、
この際、FTPベースでの運用に切り替えたいと思います。
どうもありがとうございました。
379:377
07/05/11 14:35:57 Yp1rNt+V
実験環境の5で見てみたけど
man httpd_selinuxしても、まだhttpd_enable_ftp_serverの説明はないみたいだね。
一応、httpd_selinuxのmanが書かれた時期は
public_content_*_tにすることでSambaやらhttpdやらで共有できるようにはなるとある。
…まぁ、targetedならsambaにせよ、幾つかseboolのフラグ変えるだけで問題ないんだけどね。
380:login:Penguin
07/06/16 21:03:04 TVeCm9rc
seeditの*.deb版マダー?
381:login:Penguin
07/06/21 19:27:53 Li79wnCV
URLリンク(www.atmarkit.co.jp)
382:login:Penguin
07/06/30 23:12:48 k22DBsYL
>>381
> URLリンク(www.atmarkit.co.jp)
でも、まだまだSELinuxって使いにくいよねぇ。
383:login:Penguin
07/07/04 12:50:00 53ILzz44
TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
1000000ペリカ
384:login:Penguin
07/07/07 13:43:54 gAah8Via
習合って……双方の開発主体を知ってて言ってる?
だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
URLリンク(esashi.mobi)
ここいら見てみなよ。
あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。
385:login:Penguin
07/11/08 02:31:23 2bvNqaeb
SELinuxを有効化した導入は進んでますか?
386:login:Penguin
07/11/16 03:49:29 Mx9qhpa0
ubuntuでselinux入れてみた
動かない MLで揉めてるふいんきだw
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ ウーム
ぐぐってるとバグだらけのオカン
387:login:Penguin
07/11/16 08:08:20 ub3hseD8
>>386
ディストロに拘りがないなら Fedora にしてみたら?
今のところ、俺のところでは特に問題なく動いてるよ。
388:login:Penguin
07/11/17 21:10:08 67XJ07B1
>>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよw
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな 茨の道はまだまだ続く
389:login:Penguin
07/12/28 22:07:31 XM+yOsqH
・kernelに権限昇格の脆弱性がある
・WEBアプリ(PHPやCGI)に脆弱性があって、ローカルアタックかけられる状態
この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか?
390:login:Penguin
08/01/02 18:01:48 uxhAJiRr
age
391:login:Penguin
08/01/13 21:53:54 8SqKnp92
help me
SELinuxを勉強したいんで頑張ってます。
MySQLは起動してるんですが(シェルから入れる)
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。
392:login:Penguin
08/01/13 21:57:28 8SqKnp92
あ!httpd_can_network_connect_db=1にしたら接続できました!
お騒がせして申し訳ない。
393:login:Penguin
09/03/01 12:10:06 qMTRjR4D
ぬるぽ