06/09/19 03:54:30 SAA96Un5
思ったほど難しくないよね
341:319
06/10/07 01:49:39 0VQxcj1l
結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。
このスレも廃れてますね…
342:login:Penguin
06/11/24 22:38:24 wx5gf/fe
誰か、これわかる?
URLリンク(bbs.fedora.jp)
343:login:Penguin
06/11/26 02:08:18 fQeoc878
SELinux儲かってる?
344:login:Penguin
06/12/04 23:54:45 g4pIfnK5
>>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ
継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、5年後位には変更が
超困難なシステムになってそう。
345:login:Penguin
06/12/08 02:26:01 uYBNBzil
メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない?
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない?
346:login:Penguin
06/12/14 01:16:38 FEduJ84b
そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。
非常にうまいパズルみたいな設定を思いついても、未来の自分とか5年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。
347:login:Penguin
07/01/01 14:03:54 ZA4pg8/A
サーバのセットアップは10%が設定で90%がドキュメント書きです。
348:login:Penguin
07/01/01 17:06:03 cCEHaAby
しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・
349:login:Penguin
07/01/01 21:18:49 ZA4pg8/A
あるあ・・・・・
・・・ある
350:login:Penguin
07/02/03 21:22:32 genGKaeR
SEEdit使えるディス鳥だと滅茶苦茶楽なのね
351:login:Penguin
07/02/03 23:18:08 Mbd9W+hX
>>350
debianにも対応して欲すい。
352:login:Penguin
07/02/03 23:58:53 95H1oCnY
SLIDE
URLリンク(oss.tresys.com)
353:login:Penguin
07/02/04 01:24:01 JEZbmpW6
>>352
うーむ。玄人向けのツールでつねw。
354:login:Penguin
07/02/04 15:36:22 5jUhfyFG
restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。
355:login:Penguin
07/02/04 18:51:49 weMH9ex9
>>354
どういうこと?
356:login:Penguin
07/02/14 02:14:49 7vXpsxj1
スレリンク(mac板:64-66番) によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです
357:login:Penguin
07/02/14 02:58:07 m4IlMoGA
セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。
SEBSDだってSEDarwinだってあるのにねー。
まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。
358:login:Penguin
07/02/14 08:58:01 niX0xEiK
Debian sidでSELinuxを有効にしてみた。
URLリンク(wiki.debian.org)
を見てやってみた。とりあえずpassiveモードで動かすことにしよう。
動かした後は、
URLリンク(fedora.redhat.com)
に書かれていることの方が詳しいらしい。英語だけど。
359:login:Penguin
07/02/14 16:28:27 1y5ZKtbN
慣れれば簡単だよ。がんばれ!
360:login:Penguin
07/02/15 03:14:44 m3smwIxK
今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった
Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった
しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。
どうやったらSamba使ってのファイルの移動ができるようになりますか?
SELinuxをオフとかPassiveモードはなしでお願いします。
361:login:Penguin
07/02/15 03:57:07 m3smwIxK
げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったw
Linux触って1ヶ月も経たない俺じゃ無理だな
SELinux OFF。。。
362:login:Penguin
07/02/15 08:57:40 43dnQNxp
SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。
363:login:Penguin
07/02/16 01:34:40 wqIfZsXx
SELinuxでSamba使えるようにするおまじないってあるのか?
もれは挫折したよw
364:login:Penguin
07/02/20 03:52:53 Ca1ZTyX/
samba_enable_home_dirs
365:login:Penguin
07/02/21 09:08:43 LnST7+x3
こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。
こういうものは、GUIツールで
カテゴリ別に分類し、
説明(当然日本語)を横に併記するツールを
使わないと手におえない。
昔のアドベンチャーゲームみたいだよ。
しっているか? 昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。
「go west」「open door」見たいにね。
こんなの今やりたいと思う?
366:login:Penguin
07/02/22 10:08:59 Npz4O/wL
GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。
367:login:Penguin
07/02/22 17:04:53 sTb3TkGi
>>365
polish pillar
368:login:Penguin
07/02/23 01:34:09 qdcf1zF9
>>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った
369:login:Penguin
07/03/11 08:22:06 wX/2NnTP
SEポスグレってすごいの?
370:login:Penguin
07/04/06 01:06:33 UPWHeFdH
で、誰か実際につかっているの?
371:login:Penguin
07/04/06 04:13:38 cKBkkTOC
ノ
372:login:Penguin
07/04/08 14:11:42 LO1Xtzj3
/opt以下につっこんであるやつの設定を追加しようとしたけど
元々の/optのが優先されててだめぽ
なんか悔しいぞ
373:login:Penguin
07/04/10 02:00:50 hMSFLh9c
↑?
374:login:Penguin
07/04/10 02:54:48 rNCKWXPT
Security Contextを貼り付けたいんだけど、
既に定義が書かれていてコンフリクトした挙句、
元々のが優先されるって意味だと解釈してみるテスト
375:login:Penguin
07/04/22 01:35:18 PB4N3AEh
>>374
semanageでファイルコンテキストを設定できるにょ。
376:login:Penguin
07/05/10 18:20:01 BLf25W9d
えっと
今 CentOS 5.0 + Apache 2.2.3 + SELinux でドツボにはまってます。
google先生に聞いても埒があかない状態で困ってます。
まずは、ここにあることは全部やったんです。
URLリンク(bbs.fedora.jp)
だけど
chcon -R -t public_content_rw_t public_html
をやると、cgi(Perl記述のもの) が正常に実行されません。
Internal Server Error です。
/var/log/httpd/suexec.log をみると
「cannot get docroot information (/home/user1)」が出ています。
suexecは有効になっていません。(apachectl -V って実行すれば確認できるんですよね?)
setenforce 0 をすると動くし、
/sbin/restorecon -RF public_html をすると動くんです。
もし、何らかのヒント、キーワードなどを提示できる方がいらっしゃいましたら、ご教示お願いします。
377:login:Penguin
07/05/10 19:18:43 NluEhGm9
えーと、俺まだ4.4使ってるんで詳しいことは分からないのだが、まずはgetseboolしてごらん。
378:376
07/05/11 14:21:27 Nl1Y51hb
えっと、すいません。
getsebool -a 眺めてもさっぱりわかりませんでした。
んで、その中に
httpd_enable_ftp_server
なんてものを見つけて、これをONにしたら、
chcon -R -t public_content_rw_t public_html
/usr/sbin/setsebool -P allow_ftpd_anon_write 1
/usr/sbin/setsebool -P allow_smbd_anon_write 1
これらをやらなくてもちゃんと FTP で読み書きできるじゃないですか。。。
Sambaでのpublic_htmlは、便利とともに、問題も感じていたので、
この際、FTPベースでの運用に切り替えたいと思います。
どうもありがとうございました。
379:377
07/05/11 14:35:57 Yp1rNt+V
実験環境の5で見てみたけど
man httpd_selinuxしても、まだhttpd_enable_ftp_serverの説明はないみたいだね。
一応、httpd_selinuxのmanが書かれた時期は
public_content_*_tにすることでSambaやらhttpdやらで共有できるようにはなるとある。
…まぁ、targetedならsambaにせよ、幾つかseboolのフラグ変えるだけで問題ないんだけどね。
380:login:Penguin
07/06/16 21:03:04 TVeCm9rc
seeditの*.deb版マダー?
381:login:Penguin
07/06/21 19:27:53 Li79wnCV
URLリンク(www.atmarkit.co.jp)
382:login:Penguin
07/06/30 23:12:48 k22DBsYL
>>381
> URLリンク(www.atmarkit.co.jp)
でも、まだまだSELinuxって使いにくいよねぇ。
383:login:Penguin
07/07/04 12:50:00 53ILzz44
TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
1000000ペリカ
384:login:Penguin
07/07/07 13:43:54 gAah8Via
習合って……双方の開発主体を知ってて言ってる?
だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
URLリンク(esashi.mobi)
ここいら見てみなよ。
あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。
385:login:Penguin
07/11/08 02:31:23 2bvNqaeb
SELinuxを有効化した導入は進んでますか?
386:login:Penguin
07/11/16 03:49:29 Mx9qhpa0
ubuntuでselinux入れてみた
動かない MLで揉めてるふいんきだw
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ ウーム
ぐぐってるとバグだらけのオカン
387:login:Penguin
07/11/16 08:08:20 ub3hseD8
>>386
ディストロに拘りがないなら Fedora にしてみたら?
今のところ、俺のところでは特に問題なく動いてるよ。
388:login:Penguin
07/11/17 21:10:08 67XJ07B1
>>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよw
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな 茨の道はまだまだ続く
389:login:Penguin
07/12/28 22:07:31 XM+yOsqH
・kernelに権限昇格の脆弱性がある
・WEBアプリ(PHPやCGI)に脆弱性があって、ローカルアタックかけられる状態
この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか?
390:login:Penguin
08/01/02 18:01:48 uxhAJiRr
age
391:login:Penguin
08/01/13 21:53:54 8SqKnp92
help me
SELinuxを勉強したいんで頑張ってます。
MySQLは起動してるんですが(シェルから入れる)
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。
392:login:Penguin
08/01/13 21:57:28 8SqKnp92
あ!httpd_can_network_connect_db=1にしたら接続できました!
お騒がせして申し訳ない。
393:login:Penguin
09/03/01 12:10:06 qMTRjR4D
ぬるぽ