5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

SE (security enhanced) Linux

1 :login:Penguin:04/06/12 05:18 ID:s7bBlWwQ
SE Linux についてのスレです。
利点、問題点、導入に当たっての注意など。

http://www.selinux.jp/
http://www.selinux.gr.jp/
http://www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652

2 :login:Penguin:04/06/12 05:24 ID:dVSdHyPT
(;´Д`)????

3 :login:Penguin:04/06/12 05:28 ID:kuCpOOFG
3ゲトズザ

4 :login:Penguin:04/06/12 05:30 ID:dVSdHyPT
('A`)イミワカンネ
要するにパッチだろ?

5 :login:Penguin:04/06/12 08:05 ID:DVwbBeRx
audit®

6 :login:Penguin:04/06/12 08:26 ID:KdegLaEA
とりあえずは乙と生暖かく


7 :login:Penguin:04/06/12 08:55 ID:43k2CMkZ
>>1
アマゾンには何氏に逝ったんだ?
ttp://www.amazon.co.jp/exec/obidos/ASIN/4822221113/


8 :login:Penguin:04/06/12 09:23 ID:OIQCzfwG
>>4
は?

9 :login:Penguin:04/06/16 01:09 ID:2l++u2H+
ユーザ会のOFFまだ〜

10 :login:Penguin:04/06/16 02:02 ID:WATNKbkD
ルート晒してる鯖のハックに誰か成功した香具師はいないの?

11 :login:Penguin:04/06/16 02:21 ID:ktaupipD
成功した時点でニュースになるから安心しろ

12 :login:Penguin:04/06/27 04:57 ID:Mu8ZK00U
寂れてるな
このままじゃ廃れるぞ(w


13 :login:Penguin:04/06/27 14:17 ID:uRhKvMPw
日本で、しかも2chでどうなろうと全く影響ナシ。

14 :login:Penguin:04/07/23 08:11 ID:5GhB5HF3
てst

15 :login:Penguin:04/07/23 18:54 ID:HcRYODgK
http://www.nsa.gov/selinux/code/download0.cfm
↑SELinux
kernel-2.4.22でも2.6-based SELinuxインストールしちゃって
大丈夫なんでしょうか。

16 :login:Penguin:04/07/30 19:48 ID:9E7CH+IX
なぜにSEスレ盛り上がらないのだ

17 :login:Penguin:04/07/30 20:24 ID:Kfi83cOG
>16
多数のユーザー、管理者を抱えるサーバーの運用をしてる人が2chには少ないんだろう。

18 :login:Penguin:04/07/31 01:44 ID:7vS4wCE5
導入はしてみたいんだけど、億劫でなぁ

19 :login:Penguin:04/08/17 07:49 ID:BZyf7JAd
SELinuxは他のPC-UNIXに対するかなりの利点となるはずなのにもったいない。

20 :login:Penguin:04/08/17 15:55 ID:8obRHxyC
伸びねぇなあ

21 :login:Penguin:04/08/17 18:13 ID:UeldjsDo
普通、盛り上げたい人が自演で書き込んだりするもんなんだけどねえ。
SELinuxに通じた人は、そういう2chのテクニックがないのかな。

22 :login:Penguin:04/08/17 18:18 ID:jPdB50uI
SEXについて教えてエロイ人と言ってみるw

23 :login:Penguin:04/08/17 19:37 ID:ROSIbulh
新Debianがセキュリティ強化されるようだが
http://japan.linux.com/desktop/04/08/11/0136232.shtml


それが"フロッピーやCDは自動マウントされない"
程度なのもアホらしいので、DebianユーザにseLinuxを!(ドキュメントの整備を!)

24 :login:Penguin:04/08/18 00:28 ID:BNTBJkHg
SELinux徹底ガイド
ttp://coin.nikkeibp.co.jp/coin/lin/SELinux/index.html
って良書ですか?

25 :login:Penguin:04/08/21 00:46 ID:S3rNV93e
Trusted Solaris とか SE Linux みたいな「セキュアOS」はまず運用ポリシー
ありきなのでドキュメント云々の前に個人レベルとか中小規模では初期導入や
運用のコストにメリットがつり合わない。専門スタッフを自前で用意できる
大規模な組織で無いかぎり普通はコンサルに頼んで導入するもんだと思うよ。

ワークステーションレベルでのセキュリティは >>23 あたりの話で
十分だし、これ以上のことやられてもうっとうしいだけ。

26 :login:Penguin:04/08/23 09:23 ID:A0A5mOCf
AGEますね

27 :login:Penguin:04/09/01 00:00 ID:+68aKaPB
SELinuxを使うとSEが儲かりそうだなー

設定がマンドクサげだし。

28 :login:Penguin:04/09/01 00:38 ID:AYBgVT+Y
http://www.ussg.iu.edu/hypermail/linux/kernel/0408.2/1431.html

だそうです

29 :login:Penguin:04/09/01 19:08 ID:+68aKaPB
>>28
訳して。

30 :login:Penguin:04/09/01 20:40 ID:+ssOxYD1
SE Linuxって略するとSExだね。

31 :login:Penguin:04/09/02 23:07 ID:O3zW+HSa
競糞

32 :login:Penguin:04/09/29 10:25:07 ID:MInZSJ7n
使ってる奴はおらんかー

33 :login:Penguin:04/10/05 18:41:16 ID:7MqmP1jb
全てはこの検索することをまるで考えていないスレタイが悪い。
Linux板はセンスの欠片も感じられないスレばかり。

34 :login:Penguin:04/10/08 18:41:27 ID:4cEZ7X/u
もまいら一般人にはノーマルカーネルで十分

35 :login:Penguin:04/10/08 18:43:17 ID:biin1wBR
SヨLinux

36 :login:Penguin:04/10/12 22:36:04 ID:X1HIaQwU
ながながF通でSEやってるけどTrusted Solaris使ってるの見たことない。
なんかとんでもなくマンドクセらしいんじゃ。雨でもさっぱり
売れてないそうなんじゃ。
ましてやLinuxでそんなたいそうなもんなんか誰が使うんだ?

37 :login:Penguin:04/10/14 02:36:15 ID:TArUvgso
SELinuxもポリシーが穴なら、仏作って魂入れず。

38 :login:Penguin:04/10/14 06:25:26 ID:hxG9Eraz
Fedora Core 3からデフォルトでSELinux有効になるから、
そうなるとそれなりに利用者も増えると思うよ。
気づいてて使ってるかどうかは知らないけどね。

39 :login:Penguin:04/10/14 19:25:47 ID:D7VS4Ybx
そーなると、くだ質にぎやかな悪寒

40 :login:Penguin:04/10/21 15:05:49 ID:apkmihgO
予想通り、人居ないですね。
某所で分析されてたんですが、この分析結果は、大体いい線行ってるんでしょうかね?。
少々古いですが...
http://www.ipa.go.jp/security/fy13/report/secure_os/1_Summary.pdf

SELinux B1 相当
TrustedBSD B1 相当
OpenBSD C1 相当
PitBull Foundation B1 相当 (ITSEC E3 認定)
PitBull LX C2 相当
hp virtualvault B3 相当
hp secure OS software for Linux C2 相当
Openwall C1 相当
Trusted Solaris B1 相当 (EAL4 に認定)
LOMAC C2 相当
LIDS C2 相当
Medusa DS9 B1 相当
RSBAC B1 相当

41 :login:Penguin:04/11/06 22:23:59 ID:hiCn14Q6
http://www.selinux.gr.jp/topic.html#20041104
--- SELinux BOF 「SELinuxナイト」開催要領--
主催:日本SELinuxユーザ会準備委員会 日経Linux
日時:11月30日(火)
場所:青山スパイラルホール
地図: http://ac.nikkeibp.co.jp/linux/security2004/images/map.gif
時間:18:00〜20:00
参加費:無料

プログラム(仮)
● 18:00-18:05
- 主催者から一言
> 日本SELinuxユーザ会準備委員会
> 日経Linux
● 18:05-19:05セッション1
- SELinuxの最新動向(仮) 日本SELinuxユーザ会準備委員会 中村雄一(代理:日立ソフト 才所秀明)
- SELinuxカーネルハッキング(仮) NEC 海外浩平
- 商用セキュアOSとSELinux(仮) 日本高信頼システム 田口裕也
● 19:10-19:46 セッション2
- なぜSELinuxの設定はむずかしいのか(仮) 日本SELinuxユーザ会準備委員会 女部田武史
- 現場からみたSELinux(仮) 日本オープンソース推進機構 小島浩之
● 19:46-20:00 フリーディスカッション

42 :login:Penguin:04/11/06 23:17:32 ID:F+Nri/5I
>>41
講演担当者のジエンキター

43 :login:Penguin:04/11/07 22:35:58 ID:C19rajt1
唐揚よりはまし

44 :login:Penguin:04/11/08 01:10:49 ID:7w+L++m6
試しにgentooで使ってみてるけど、設定面倒だね。
まだ、enforceなんて出来ない。

gentoo特有(多分)の罠として、
udev使ってると、/devがramfsなのではまる。

45 :login:Penguin:04/11/12 01:53:21 ID:8mQ+1kTu
これ有効にしたら重くなる?

46 :login:Penguin:04/11/12 21:55:55 ID:DfpPyEmN
>>45
あまり気にならないけど。

FC3でちゃんとSELinuxの機能使う人はどれぐらいいるんだろう。

47 :login:Penguin:04/11/16 05:01:48 ID:JE4z9irv
>>46
インストールのとき速攻でオフにしちゃった
メジャーなディストリで標準搭載されたのはFedoraが初めてなので
急速にノウハウが蓄積されていくかもしれんし、RedHatあたりがGtk+使って
GUI設定ツールを書いてくれる可能性もある。
「よく分からない場合は切っとけ」で済まされる場合のほうが多そうだが...


48 :login:Penguin:04/11/16 05:18:42 ID:JE4z9irv
Windowsでいうところのパーソナルファイアウォール相当のこと
(netfilter/iptablesでやるパケットフィルタだけじゃなくて、アプリレベルでの
細かい通信制御)をSELinuxでできんかなと妄想してる。
もちろん機能には十分すぎるんだが、それを簡単に設定するための
フロントエンドをどう作るかが問題。

49 :login:Penguin:04/11/16 23:04:54 ID:r5Lrk2wd
>>48
人気でそうだ。つーか俺も欲しい。

50 :login:Penguin:04/11/17 00:25:22 ID:DGIX6dqn
>>48
デーモンの動いてるドメインとnode/portを対応させれば可能。
但し、ポリシーコンパイラがしょぼいので、書くのは大変…。

おまけにnode/port関連の性能ボトルネックがひどいんだよなぁ…。

51 :login:Penguin:04/11/19 16:40:48 ID:zSRgmM4L
初めて触ってみたが、結構概念が難しい。
SELinux を使いこなせるようになる道のりは遠い感じ。
で、こんなに難しいと普通のSEじゃ手が出ないので
余り普及しない(または使われない)悪寒。

52 :login:Penguin:04/11/20 03:01:29 ID:z6ctB+VG
デフォルト有効なのかよ!
これから勉強がたいへんだ

53 :login:Penguin:04/11/20 06:57:05 ID:CbAZaw0K
概念自体はそれほど難しくないんじゃない?
設定がたまらなく面倒だけど。

FC3ってデフォルトenforceモードなの?

54 :login:Penguin:04/11/20 17:50:17 ID:7hmqMeo8
これ、テスト用のマシンを用意して勉強しないといけないほど難しい?

55 :login:Penguin:04/11/20 17:55:40 ID:/C8/c61k
FC3についてのちょっとした紹介
ttp://www.itmedia.co.jp/enterprise/articles/0411/15/news046.html

56 :login:Penguin:04/11/20 22:46:41 ID:SVVab55G
>>54
デフォルト有効と言ってもTargetポリシーだし、
自分が挙動に詳しいアプリケーションから設定を追加していけば
いいんではないでしょうか?

本当はポリシーコンパイラの記述能力が低いのが悪いと思うんだけどね。

57 :login:Penguin:04/11/21 00:23:00 ID:EedBRFSc
最低限必要なサービスだけにしておかないと、定義が死ぬほど面倒くさい。

FC3がどんなかわからないけど、普通のサーバなら、
危険性があるやつだけ設定するって言うのは良いかもね。

58 :login:Penguin:04/11/24 21:51:12 ID:GD/xCPVc
>>51
SEがつかえないSE Linux
語呂合わせにもならねぇ(w

59 :login:Penguin:04/11/24 23:52:21 ID:2XCOPo7B
これ使えないと負け組みですか?NSAに勝ちたいです。

60 :login:Penguin:04/11/25 00:22:32 ID:sSYcT8WT
>>59
使うと自動的にNSAに通報します。

61 :login:Penguin:04/11/25 20:18:12 ID:lUPgfwFJ
Debian sidにselinux-policy-defaultをインストールしようとしています。
しかし以下のようなエラーメッセージが出ます。何かヒントのようなものでもありますか?
ちなみにカーネルはselinux=1でブートし、その他の必要なパッケージは
coker.com.auから落として全てインストールしてあります。

# dpkg -D=3333 --configure selinux-policy-default
Setting up selinux-policy-default (1.16-1) ...
/usr/bin/checkpolicy: loading policy configuration from policy.conf
domains/program/cups.te:220:ERROR 'unknown type rpm_var_lib_t' at token ';' on line 100328:
allow cupsd_config_t rpm_var_lib_t:file { getattr read };
#line 220
/usr/bin/checkpolicy: error(s) encountered while parsing configuration
make: *** [/etc/selinux/policy/policy.18] Error 1
run-parts: /etc/dpkg/postinst.d/selinux exited with return code 2
"/bin/run-parts --arg=selinux-policy-default /etc/dpkg/postinst.d" failed: 256
dpkg: error processing selinux-policy-default (--configure):
1Error running trigger postinst: No such file or directory
Errors were encountered while processing:

62 :login:Penguin:04/11/25 20:40:38 ID:lUPgfwFJ
えっと、Debianなのにrpmなのが不味いのかと思って、
#grep -n rpm /etc/selinux/src/domains/program/cups.te
174:ifdef(`rpm.te', `
175:allow cupsd_config_t rpm_var_lib_t:dir { getattr search };
176:allow cupsd_config_t rpm_var_lib_t:file { getattr read };
213:allow cupsd_config_t rpm_var_lib_t:file { getattr read };

この213行目をコメントアウトしたら上手くいったようです。
# make -s -C /etc/selinux/src install
/usr/bin/checkpolicy: loading policy configuration from policy.conf
security: 4 users, 6 roles, 1431 types, 27 bools
security: 53 classes, 207684 rules
/usr/bin/checkpolicy: policy configuration loaded
/usr/bin/checkpolicy: writing binary representation (version 18) to /etc/selinux/policy/policy.18
Building file_contexts ...
Validating file_contexts ...

63 :login:Penguin:04/11/25 20:48:57 ID:lUPgfwFJ
と思ったらエラーが出てた。

/usr/sbin/load_policy: Warning! Error while getting boolean names: Success
/usr/sbin/load_policy: security_load_policy failed
make: *** [tmp/load] Error 3

にも関わらずselinux-policy-default自体のセットアップは終わったっぽい。
よく分からんね。

64 :login:Penguin:04/11/25 20:51:03 ID:MPLFWDrj
対応してる鳥使えばいいのに。

65 :login:Penguin:04/11/25 22:12:04 ID:hS75tvZu
興味あるのでがんばって下さい

66 :login:Penguin:04/11/30 21:48:54 ID:DNV7bnzT
>>41

情報 Thanx!
ナイトの会、行ってきたよ。
現状はまだまだ発展途上って感じだね。

ひとつ印象に残ったのは、ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり、商用ソフトだと
最悪、訴えられる可能性もあるらしいとの事。事実、過去そうゆう事例を憂慮した意見が内部であったらしい。
現状では、どこが最終的な責任をとるのだろうか? JOSAO?

会場ではバイキング形式の軽食があった。案内に書いてないのはタダ飯食う香具師が来るのを避ける為
だろうか? 一言書いて欲しかったよ。

行く前に大盛りスパゲッティー食った俺は ヽ(`Д´)ノ




67 :login:Penguin:04/11/30 22:54:20 ID:Rci6pBJ3
>ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
>無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり

strace使うことがなんでリバースエンジニアリングなの?

68 :login:Penguin:04/11/30 23:06:05 ID:rGSC9TyP
straceかけなくても、ろぐにでるしね。

69 :login:Penguin:04/12/01 01:18:09 ID:kwnvX1mj
strace  リバースエンジニアリング でググれ。


70 :login:Penguin:04/12/01 22:57:27 ID:buBI+dND
>>66
ま、「食事」が目的じゃなかったしw
でもまぁ、あの時間帯設定だったら、みんなおなかすくだろうなとは思ってたけど。
ほぼ初心者でお話を聞かせて頂いていたのですが、ポリシー作るのってかなり難しいのね。
Hello World! であんなに手間掛かるとはw
使用しているライブラリの挙動すべてを把握しなければならないのは辛いね。
SELinuxの必要性はある(というか必須)、
でもそれを使うのは困難と。。。まだまだこれから、なのかなぁ。

71 :login:Penguin:04/12/01 23:00:52 ID:buBI+dND
ちなみに、Windows をセキュアOSにする製品もあるような話があった気がするけど、
ライセンス料以外で考えた場合でも、
WindowsベースのセキュアOS と SELinux だったら、SELinux の方に軍配?

72 :login:Penguin:04/12/02 03:00:25 ID:aSrOsSrn
>>71
オープンソースだからね。
究極的にWindowsは、M$の言う事を信じなければならない。
事象があくまでプログラムのバグだからな…。


73 :login:Penguin:04/12/03 00:48:59 ID:+ogIR13D
>>72
オープンソースだから安全ってわけでもないよね。
逆にソースが分かっているんだから攻撃箇所も分かるわけだし。
しかも、脆弱性とか見つかった時の修正までの時間ってWinの方が早いらしいし。
アタックやハッキングがLinuxの方がWinよりも少ないわけでもないから、
手放しで SELinux の方がいいのかどうか疑問。
WinでもLinuxでもハッキングされた時の被害がセキュアOSにより最小限になるのであれば、
SELinuxの優位性は価格だけなのだろうか???

74 :login:Penguin:04/12/03 01:09:51 ID:B+NBrjFL
モジラ組みもIISなんか使ってるからあんなことに・・・

75 :login:Penguin:04/12/05 03:25:16 ID:9/C1GsDJ
書き込み少ないね。セキュアOSスレとかだったらもっと集まるのかな?

76 :login:Penguin:04/12/05 12:56:34 ID:ftQG/iV+
>>75
普通のサーバに使うのは面倒くさすぎるからね。
他のってLIDSとかに限らず、Trusted Solarisとか?

77 :login:Penguin:04/12/05 15:19:45 ID:Xmb8f5R0
使ってるアプリケーションの動作を大体のところ分っているのなら、
そんなに難しくも面倒でもないのでは?

78 :login:Penguin:04/12/06 17:54:39 ID:JtISNBh9
セキュアOSカンファレンス乙

79 :login:Penguin:04/12/21 01:00:45 ID:d+cqoNK8
allow gikonavi_t 2ch_file_t:file r_file_perms;

80 :login:Penguin:04/12/21 23:39:51 ID:VGSNXL53
>>79
実行できないじゃん。

81 :login:Penguin:04/12/31 08:56:30 ID:1dLBL8OZ
SE Linuxを有効にしてるとapacheにてWebDAVを利用する際にある小細工をしないと動かないのがつらい。
デフォでONだし、調べてみたら結構いい感じだからね〜

他に、不具合が出るものがあったら教えてくれ。
ちなみに、うんこvsftpdは問題ない。

82 :login:Penguin:04/12/31 10:44:55 ID:UohtONFB
>>81
vsftpdは平気なんですか。
認証とか平気ですか?shadowとかアクセスさせたくないんだけど。

83 :login:Penguin:05/01/14 03:40:02 ID:4A7mLCNI
普段リモートから管理するには、適当なユーザを作って
そのユーザにsysadm_rになれるようにして、
sysadm_rにしてからrootになれば良い?

84 :login:Penguin:05/01/15 03:20:11 ID:eumkuR6c
>>83
適当なユーザでログインして、suでrootになって、newroleでsysadm_rになるのが正解
レガシーUNIXの特権ユーザだとか一般ユーザという考え方は、SELinuxの世界には存在
しないものと心得られよ。

85 :login:Penguin:05/01/19 12:52:53 ID:r7Yfu5sx
selinux.jp死にっぱなし?

86 :login:Penguin:05/01/19 15:36:25 ID:o3yuXtEs
>>85
復活しても俺が速攻で落としてるからな。

87 :login:Penguin:05/01/19 22:53:28 ID:j8qcBS41
>>84
suがsetuidされてるから怒られるのね。
だからsysadm_rにしてからsuしてた。

rootじゃないと、普通のチェック(SELinuxの前)ではじかれるから、
rootになるのは必須なんだよね。

suを許可するのが筋なのかな。

88 :SELinux:05/01/26 19:39:41 ID:sf6NWb9/
SELinuxでshadowのファイルの権限を有効にしようとして、make reloadコマンド
を打つと、エラーが出てしまいます。
どうしてですか?

89 :login:Penguin:05/01/26 20:25:41 ID:SzWDCttT
FreeBSDからFedora Core3に乗り換えたけど
SELinux周りで死ぬほど苦しんでます。

詳しいページがあったら紹介してください。

90 :login:Penguin:05/01/26 23:00:06 ID:ZRGojEQb
>>89
sudo echo 0 > /selinux/enforce

91 :login:Penguin:05/01/27 01:48:36 ID:Nw7Qmux/
assert.teだね

92 :SELinux:05/01/27 13:03:42 ID:f6pf3IHI
>>90
一般ユーザで行うんですか?

93 :89:05/01/27 16:01:12 ID:zhnD52o8
>>90
まぁ、それも一つの解ではあるのだけど(笑)

Perlで書かれたスクリプトを実行したら
実行されているようなんだけど(ファイル出力処理で、出力している)
print してる部分がコンソールに表示されない
./test.cgi > hoge
だと、hogeファイルにprintしてる部分が出てる
SELinuxを無効にしたら、コンソールに表示される

-rwxr-xr-x oresama oresama system_u:object_r:httpd_user_content_t test.cgi

うーむ・・・

94 :login:Penguin:05/01/28 09:17:29 ID:B7+DaWB6
>>93
httpd_user_script_exec_t

95 :login:Penguin:05/01/28 09:28:55 ID:I4hBi6uy
日立ソフトがIPAから委託されて開発した
SELinux/AID使ってる人います?

Turboは認定トレーニングはじめるみたいだけどTurboLinux10の
製品解説みると売りにしてるから多分これが前提の講習だよね。
http://www.turbolinux.co.jp/news/2005/jan/tl0118.html

96 :login:Penguin:05/02/01 03:23:15 ID:R7wOcKfY
>>66

> 行く前に大盛りスパゲッティー食った俺は ヽ(`Д´)ノ

いつでもハングリーでいきましょう

97 :login:Penguin:05/02/01 03:24:56 ID:R7wOcKfY
2.4.28/29にbackportしてSELinuxを運用している方おりますか?


98 :login:Penguin:05/02/02 01:40:56 ID:l83/Vdo8
SELinux運用してる例が少なそう

99 :login:Penguin:05/02/02 03:29:08 ID:S9tP/kMN
>1
間抜けなタイトルをつけたもんだな、間抜け。
このスレは、「selinux」で検索してもタイトルがひっかからない。
こんな間抜けなタイトルをつける底抜けにでも
FC3のはそれなりに使えてるみたいだ。

100 :login:Penguin:05/02/02 09:34:24 ID:xwsG9abH
>>99
Linux板のアホウはスレタイ一つまともに付けられないんです。
今に始まったことではありません。

101 :login:Penguin:05/02/02 22:51:19 ID:PrTo3fxY
これって、IPSとどう違うの?

102 :login:Penguin:05/02/02 23:14:00 ID:A0UaOl6X
>>1読めば分かるだろ?

103 :login:Penguin:05/02/05 02:27:23 ID:+zvHTRUn
流行りそうな予感


104 :login:Penguin:05/02/05 05:45:06 ID:xJZHVJAK
流行るかね。
まともに設定出来れば、一技能として認められるかな。

105 :login:Penguin:05/02/05 10:38:50 ID:+zvHTRUn
パッケージ選択数の多いディストリビューションは大変そう。


106 :login:Penguin:05/02/09 02:51:55 ID:XF0/Pgz5
検索しにくい。

107 :login:Penguin:05/02/09 23:22:38 ID:JqljQMs1
TURBOもだすんだっけ?

108 :login:Penguin:05/02/11 00:49:53 ID:Eo16XC6i
ターボはSELinuxができるのか
けっこう構築してノウハウたまったから採用したのかな


109 :login:Penguin:05/02/20 23:03:24 ID:+IFTBw6N
ターボは親会社が大変だな。
ちーそ

110 :login:Penguin:05/02/21 22:04:22 ID:ArwecXmM
このスレッド、書き込みが少なくてさみしいね。
SELinuxを使っている人はまだまだ限られているのかな?
デスクトップ用としてLinuxを使っている僕には無縁なものなのでしょうか?

111 :login:Penguin:05/02/21 22:11:12 ID:0hX35ns2
SELinuxを芹菜と呼ぼう

112 :login:Penguin:05/02/23 05:33:48 ID:CBKPp7c2
というか、こんなめんどくさいもの、流行らそうとしていること自体が悪

J●SA●のSELinux委員会の本人達がそう思っているんだから間違いない。
本家のNSA絡みの人たちもそう思っているんだから間違いない。

けど標準だ。やらなきゃ...orz

113 :login:Penguin:05/02/25 00:19:30 ID:f2uiMCq0
SELinux委員会なるものがあるのか!

114 :login:Penguin:05/02/25 00:38:03 ID:8B+HEoS8
Fedora coreを使っている人は結構簡単に使えちゃうような気が
するんだけど、実際どう?
じぶんFC2なんだけど、とりあえず有効にしてみた。
これから設定ツールをインストールして手探りでいろいろ試してみるつもり。

115 :login:Penguin:05/02/25 08:28:52 ID:hpEzNVNo
>>113
とりあえずこっちでもいいんじゃないか
http://www.37linux.jp/
会長ブログもあるぞ

116 :login:Penguin:05/03/01 00:10:42 ID:2S1ezsEn
>>115
これもターボがからんでいるとは


117 :login:Penguin:05/03/01 08:25:58 ID:nT2TU4zb
会長がおともだちのPCにリナックスを入れてくれるらしいぞ。
ハァハァ

118 :login:Penguin:05/03/02 05:03:55 ID:+4E0glIi
会長!ベットの中でSELinuxについて教えてください!

119 :login:Penguin:05/03/10 17:17:53 ID:yxaV5U7b
fcファイルを編集のち以下のようにコマンドを実行したのですが反映されて
いないらしく、httpd.confのログファイルの出力先を変更した場合にhttpdを
起動する事が出来ません。file_contextsには反映されているようです。
更に何かする必要があるのだと思うのですがどうしたら良いのでしょうか?。

fcファイルに追加
/abc/public_html(/.*)? system_u:object_r:httpd_sys_content_t

make reload
load_policy policy.18


120 :login:Penguin:05/03/11 00:53:58 ID:RaDjPhri
setfiles

121 :login:Penguin:05/03/11 03:55:33 ID:NJcMHUX0
>>119
変更範囲がわかってるなら、setfilesが速いけど、
make relabel っていうのが出来るはず。
あと、ログになんか出るんじゃない?

122 :119:05/03/11 10:22:41 ID:4gTW0GFK
>>120,121
messagesに出力されているログですがこれの事でしょうか。
Mar 11 09:39:11 hoge kernel: audit(1110501551.417:0): avc: denied { search } for pid=3664 exe=/usr/sbin/httpd
name=server dev=hda2ino=7733249 scontext=root:system_r:httpd_t tcontext=system_u:object_r:file_t tclass=dir

make relabelでは全てのポリシーを書き換えているので時間がかかるという考え方で良いのでしょうか。
setfilesでは変更したポリシーだけを書き換える事が出来るの早いのですね。setfiles単独の使い方が良くわかって
いないので後々、勉強して行きたいと考えております。

make reload
make relabel
/usr/sbin/load_policy /etc/selinux/targeted/policy/policy.18

コマンドの順番を変えてみたりしているのですがそれでもhttpd.confのパスを変更するとhttpdを起動出来なくなり、
上記と同等なログがメッセージに出力されます。
また、/etc/selinux/targeted/contexts/files/file_contextsには変更箇所が出力されています。

何が原因なのでしょうか?

123 :login:Penguin:05/03/11 15:24:06 ID:k3CAiL8Z
>>122
これも追加してみて
/abc system_u:object_r:httpd_sys_content_t

124 :122:05/03/11 16:18:17 ID:4gTW0GFK
>>123
/abc system_u:object_r:httpd_sys_content_tを追加する事で起動に成功しました。
他のファイルで通常の/から始まるディレクトリへのアクセスが許可されていて、
/からの新規ディレクトリを作成した場合には新たにルールを追加しなければ
ならないという事なのですね。

ありがとうございました。

125 :122:05/03/11 17:12:41 ID:4gTW0GFK
/abc
/htmlsystem_u:object_r:httpd_sys_content_t
/logsystem_u:object_r:httpd_log_t

という複数のサブディレクトリを用意した場合にはどうするべきなのでしょうか。

/abcsystem_u:object_r:httpd_sys_content_t
/abcsystem_u:object_r:httpd_log_t

では、make reload時にエラーとなります。

teファイルを覗いて見て、httpd_tを設定したら良さそうなので設定してみたら
make reloadは通ったのですがこういう設定に問題はないのでしょうか?


126 :login:Penguin:05/03/11 17:14:29 ID:k3CAiL8Z
>>124
ちなみに、/abc を system_u:object_r:httpd_sys_content_t にできない場合は
fcじゃなくてteファイルに、こんなのを追加してみるのもいいかも
--
allow httpd_t home_root_t:dir search;
--
home_root_t は"ls -dZ /abc"などで確認して適宜書き換えてください。
間違っても root_t とかにはしないほうがいいと思うけどね。

127 :login:Penguin:05/03/11 17:18:32 ID:k3CAiL8Z
>>125
/abc の後ろにスペース入れてる?

128 :122:05/03/11 17:50:44 ID:4gTW0GFK
>> k3CAiL8Zさん
httpd_tはダメでした。relabelで弾かれてしまいました。
teファイルを変更しない場合には、read writeが許可されている
httpd_sys_content_tを使用するのが良いみたいでした。

teファイルの方は未だ変更の仕方が良くわかりませんが、
allow httpd_abcd home_root_t:dir search;
とする事で httpd_abcd をディレクトリに割り振り出来るという
事なのではないかと見ています。書き込んだ後に変更を加えて
確かめてみたいと想います。

/abcの後に空白はあります。同じディレクトリに複数の設定を
行うのは無理のようでした。

129 :login:Penguin:05/03/11 18:13:28 ID:k3CAiL8Z
>>128
勘違いしてるみたいだけど、やりたいことはfcに3行入れれば多分できるでしょう。
*.fc
--
/abc system_u:object_r:httpd_sys_content_t
/abc/html(/.*)? system_u:object_r:httpd_sys_content_t
/abc/log system_u:object_r:httpd_log_t
--

>>126
/abc をApache以外にも使うならteいじる必要あるかもしれないけど
という意味なので無視しといてください。

130 :128:05/03/11 18:54:14 ID:4gTW0GFK
>>129
あ、大丈夫です^^。fcの方には129と同じようにしてあります。

teの方はhttpd_tにはroot権限?とディレクトリの検索を許可します。
という意味に見えます。実際にはhome_root_tにも設定があり、
継承しているという事になるのでしょうか。根本的な所まで
追いかけないと見えてこないものが沢山ありそうです。



131 :login:Penguin:05/03/11 19:35:00 ID:k3CAiL8Z
>>130
Apacheでしか使わないならteいじんなくていいよ。
それ以外でも使うなら、"ls -aZ /abc"の結果でも教えて。

132 :login:Penguin:05/03/13 04:29:00 ID:Smjmhscy
SELinuxに詳しい人多いんだね。
オレも勉強しなくては



133 :login:Penguin:05/03/18 22:12:04 ID:cnaFhVSF
SELinuxで使用出来ない文字、または誤動作の要因となる文字などはあるのでしょうか?。
httpdにおいて同一ディレクトリ同一所有権パーミッションでありながら表示できる画像と
表示できない画像が存在します。SELinuxを無効にすると正しく表示されるのでSELinux
が関係しているのは間違いないと想われます。

表示できないケースでは以下のようになります。
You don't have permission to access path on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.


134 :login:Penguin:05/03/18 22:19:21 ID:MrN6Qq1S
>>133
表示できるファイルと、そうでないファイルの"ls -Z"の結果は?
アクセスできなかったときに"/var/log/messages"になんて出る?
最低限これくらい書いてくれないと答えようもない

135 :133:05/03/18 22:28:49 ID:cnaFhVSF
>>134
申し訳ありません;。
$ ls -Z ではディレクトリ内の全てのファイルが httpd_sys_content_t となっております。
アクセス出来なかったファイルの内、1つのファイルをha_b_012.jpg > ha.jpgに変更する
事でアクセスが可能となりました。そこで他のファイルでも_と数字を除きアクセスして
みましたが、こちらの方はアクセス出来ませんでした。

$ cat /var/log/messages
kernel: audit(1111151779.769:0): avc: denied { getattr } for pid=10813 exe=/usr/sbin/httpd
path=path dev=hda2 ino=7422115 scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file


136 :133:05/03/18 23:03:37 ID:cnaFhVSF
RHELのクローンですから当然、RHELにも同様の問題があると想われます。
つまり、SELinuxって予想以上に使われてないのですね。
SELinuxが返って穴にならなければ良いのですが;。

137 :login:Penguin:05/03/18 23:12:36 ID:SQmxFIAD
穴が開いてるのはおまえの脳味噌だろ。
運用出来るだけの知恵が無いんだからSELinuxはdisableにして正解だったな。

138 :133:05/03/18 23:53:35 ID:cnaFhVSF
>>137
好き勝手言って貰っても構いませんが何処が問題なのか指摘してください
.fcはphp(/.*)としてあり、問題となっているディレクトリはphp/abc/def/にあります

期待上げ!

139 :133:05/03/18 23:59:59 ID:cnaFhVSF
>>137
2行しか書けないFedraユーザーみたいだね
無理言ってすまない

140 :login:Penguin:05/03/19 00:33:57 ID:AdJo+AG7
アンチFedoraは例外無く池沼ばかりだなw

141 :133:05/03/19 00:53:30 ID:4vL6hAaV
>>140
うちにFedraもあるよ
ディストリを差別する気はありませんが特定の個人なら差別しても許せるかもね^^

142 :login:Penguin:05/03/19 01:28:02 ID:ilrOwGMs
言われたものだけじゃなくて可能性ありそうな設定全部書いてみれば?

143 :login:Penguin:05/03/19 06:41:31 ID:JM3a88Pg
audit2allow

144 :133:05/03/19 09:26:07 ID:4vL6hAaV
いろいろと試行錯誤し考えてみた結果、原因となる幾つかの要因が見えました。
httpdポリシーにおける設定変更自体には全く問題ありませんでしたが結果と
してアクセス出来るファイルとそうでないファイルが存在したのは間違い
ありません。対処方法もいくつか考えられますが実際にどれくらいのファイルが
影響を受けるのか現状のまま確かめて見たいと考えております。

ただ、総合的にSELinuxの役割として予想外の動作をしていたのは間違いありません。

145 :login:Penguin:05/03/19 12:40:19 ID:QodH++gB
>>135
単純に
tcontext=user_u:object_r:user_home_t tclass=file
だからじゃないの?

146 :login:Penguin:05/03/19 23:26:26 ID:YRe93jvD
home_tを読ませるように設定するか、
ファイルをきちんとラベル付けしなけりゃ問題があるのは
当たり前やろ。
DACで言うところの600root:rootのファイルが通常ユーザーでは
読めませんとかいう質問のようなもんだろ。

147 :133:05/03/20 09:46:54 ID:1Ea4E4Vw
以下のように同じディレクトリにあるファイルで差が出るのはおかしくはないのですか?。
home_tだからというなら理由なら、ほぼ同じ条件にある他のファイルが読めるというのは
納得が行きません。www以下にあるファイルは全てhttpd_sys_content_tが適応されている
はずであり、読めないのであれば全て読めないのが本来あるべき動作のはずです。
home_tだから読めないという事であるならば、Zで表示されている内容と実際の内容が
異なるという事だと想われますが如何でしょうか?。

www(/.*)?

ls -aZ
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha_b_012.jpg
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha.jpg

ls
ha_b_012.jpg ← 読めない
ha.jpg ← 読める



148 :login:Penguin:05/03/20 11:34:48 ID:TBDKXLZq
だからおかしいのはオマエの脳。脳に障害があるのにサーバ構築なんかムリだって。

149 :login:Penguin:05/03/20 13:42:54 ID:1Ea4E4Vw
>>148
初期設定Fedra君、自分のスレにお帰りなされ^^。

150 :login:Penguin:05/03/20 13:58:48 ID:TBDKXLZq
脳に障害がある奴は常にアンチFedoraであるという法則w

151 :login:Penguin:05/03/20 14:11:10 ID:TBDKXLZq
>>149
いいかい、君はアスペルガー症候群だ。
既に何度かそう診断された事があるだろ?
障害を持つ身で努力しようとする態度は立派だけどはっきり言って迷惑だから帰ってくれ。
警察とか消防隊員とか、障害者には出来ない仕事があるんだよ。技術者もその1つ。
社会に貢献したければ君に出来る仕事は他にいくらでもあるはずだ。
自分の身の丈に見合う事をやりなさい。

152 :login:Penguin:05/03/20 16:18:35 ID:1Ea4E4Vw
>>151
>FC4T1のgijで動いてるTomcat、abでちょっとベンチ取ろうとしただけで落ちる。
FC4の実験、お疲れさま^^
それから「アンチFedora」というフレーズを少しは変えようよ
せっかくIDが変わっているのだし、もう少し効果的な発言をしようね
次の面白い発言に期待していますよん

期待あげ!

153 :login:Penguin:05/03/20 20:53:34 ID:ki45pfhI
home_tのアトリビュートが取れないっていっているんだから、
/var/log/messagesの見てるところが違うんじゃないの。
まずパーミッシブにしてすべて動かしてみて、
引っかかる権限に対するルールを全て書き加えていけばいいじゃん。
(tail -fしながら問題のある所をpermissiveでどういう
ログがでるか観察。)
SELinuxそのもののバグならバグの報告する。

154 :133:05/03/20 21:21:46 ID:1Ea4E4Vw
>>153
お返事ありがとうございます。
アクセスしているパスが異なる、また勘違いなどは第一に疑いましたが、full_pathの部分は
確かに表示されないファイルのフルパスになっております。また、messagesファイルを
監視しても同様の結果としかなりませんでした。
ただアクセスさせる為なら闇雲にルールの追加を行えば良いのですが、それではSELinuxの
稼働意味が損なわれてしまいます。
また何度か検証した結果、この事例が発生する行程が判明致しましたが何分、TBDKXLZqさん
がおっしゃるように私は脳を病んでいる事もあり、またPC歴も20年と浅いので妄想として
心に閉まっておく事に致します。

ご協力してくださった皆様、ご迷惑をおかけしました。

kernel: audit(1111188853.244:0): avc: denied { getattr } for pid=2555 exe=/usr/sbin/httpd path=full_path dev=hda2
ino=7422115 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file


155 :login:Penguin:05/03/20 21:39:44 ID:ki45pfhI
SELinuxユーザー会のメーリングリストに投げてみたら?
ログにあった権限を追加していくのは、本当にログの
情報があってるかどうか確認する為で、その穴だらけの
状態で運用しろという意味じゃない。

156 :login:Penguin:05/03/20 21:42:32 ID:ki45pfhI
基本的には
検証>確認>システム、もしくはポリシーの編集>検証に戻る
てな感じにやっていくしかないんじゃないの?
ドキュメントも少ないし、成熟もしていないわけだから、全て最初から
完成させる事ができるとは思わない方が良いのかなと
個人的には思います。

157 :login:Penguin:05/03/21 01:19:41 ID:Pg6EgOd7
なに、バグなの?

158 :login:Penguin:05/03/21 01:22:18 ID:ONFyNY6p
>>1
矢口真里写真集「OFF」

159 :login:Penguin:2005/03/21(月) 13:03:52 ID:RRoZFv1H
>>157
脳のバグ。

160 :login:Penguin:2005/03/21(月) 13:51:20 ID:jBLCHfdu
矢口ってちっちゃいけどかわいいよね。
モー娘。の中では一番、しっかりしていて頭が良いと思うよ。
ちゃんと勉強すればSELinuxぐらいマスターするんじゃないかな。


161 :login:Penguin:2005/03/21(月) 21:45:36 ID:RORt2abZ
1つハッキリしたのはMLを読んでいる奴が1人も居ないと事実だけだな

162 :login:Penguin:2005/03/21(月) 22:41:00 ID:RRoZFv1H
fedora-selinuxなら読んでるがw

39 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)