タグ付けされた質問 「selinux」

私のシステムは、Apache2.2.15でCentOS 6.4を実行しています。SElinuxは強制的であり、python / wsgiアプリを介してredisのローカルインスタンスに接続しようとしています。エラー13、許可が拒否されました。次のコマンドで修正できます。 setsebool -P httpd_can_network_connect ただし、httpdがすべてのtcpポートに接続できるようにしたくはありません。httpdが接続できるポート/ネットワークを指定するにはどうすればよいですか？httpdがポート6379（redis）または127.0.0.1のtcpに接続できるようにするモジュールを作成できれば、それが望ましいでしょう。なぜ私の妄想がこれにとても強いのかは分かりませんが、ちょっと... 知ってる？

41 apache-2.2  redhat  selinux  redis 

StackOverflowに関するこの質問の行と、ここにいる全く異なる群衆について、私は疑問に思います：SELinuxを無効にする理由は何ですか？引き続き有効にしますか？SELinuxをオンにしておくと、どのような異常が発生しましたか？Oracle以外に、SELinuxが有効になっているシステムのサポートに問題があるベンダーは他にありますか？ おまけの質問：誰かが強制的にターゲットモードでSELinuxを使用してRHEL5でOracleを実行できるようになりましたか？つまり、strictは素晴らしいことですが、それはまだリモートでも可能ではないので、まずはターゲットを絞ってください;-)

36 linux  security  oracle  redhat  selinux 

誰かがRedHatとSELinuxのSSHDログの場所を教えてください。

33 linux  ssh  redhat  selinux 

設定では、SambaとApacheが/ var / wwwにアクセスできるようにセットアップしたいのですが、Sambaアクセスを許可するようにコンテキストを設定できますが、httpdにはアクセスできません。setenforceを0にすると問題が解消されるため、SELinuxであることがわかります。 また、フォルダーのコンテキストを表示するにはどうすればよいですか？また、フォルダーに複数のコンテキストを含めることはできますか？ （CentOS）

26 apache-2.2  centos  samba  selinux 

サーバーフォールトで回答できるため、 この質問はStack Overflowから移行されました。 8年前に移行され ました。 セキュリティ強化のため、サーバーでSELinuxを実行したままにしておきたいと思います。 私は通常、SELinuxを無効にして、何でも動作するようにします。 SELinuxにMySQL接続を許可するように指示するにはどうすればよいですか？ ドキュメントで最も見つけたのは、mysql.comの次の行です。 Linuxで実行していて、Security-Enhanced Linux（SELinux）が有効になっている場合は、mysqldプロセスのSELinux保護が無効になっていることを確認してください。 うわー...それは本当に役に立ちます。

21 mysql  selinux 

リモートコンピューターにSSHで接続しようとしていますが、パスワードを要求しています。 SElinuxを実行しているコンピューターはたくさんありますが、そのうちの1つだけが、パスワードなしでsshを使用するのに苦労しています。 ssh-copy-idを実行しました。.ssh/ authorized_keysでキーを確認できます。 ./ssh/*のすべてのファイルをchmod 700 .sshおよびchmod 600 私がssh -vを実行すると、これは私の出力です： OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to wcmisdlin05 [10.52.208.224] port 22. debug1: Connection established. debug1: identity file /home/jsmith/.ssh/identity type -1 debug1: identity file /home/jsmith/.ssh/id_rsa type 1 debug1: identity …

18 linux  ssh  ssh-keys  selinux 

タイトルにあるように、SELinuxポリシーパッケージの内容を表示するにはどうすればよいですか？結果のファイルは.ppで終わります。私はcentos 6で実行していますが、「すべて」のディストリビューションでも同じ方法だと思います。 例えば cp /usr/share/selinux/targeted/cobbler.pp.bz2 ~ bunzip2 cobbler.pp.bz2 MAGIC_SELINUX_CMD cobbler.pp

16 centos  selinux  centos6 

SELinuxがどこで使用され、それが攻撃者から何を救うのか、私にはあまり理解できませんでした。私はSELinuxのウェブサイトを見て、基本的なことを読みましたが、SELinuxについてまだ手がかりを得ていません。SSHシェル、Apacheフロントエンド、ロールベースのWebアプリケーション、MySQL DB、memcachedを提供するLinuxシステムでは、ほとんどすべてのシステムがパスワードで保護されていますが、SELinuxが必要なのはなぜですか？

14 linux  selinux  security 

ポート5000でApacheのSELinuxに例外を追加しようとしていたので、次のコマンドを使用しました。 # semanage port -a -t http_port_t -p tcp 5000 しかし、エラーを返します、 ValueError: Port tcp/5000 already defined コマンドでこれがそうであるかどうかを確認しようとしました： semanage port -l |grep 5000 出力された http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 ご覧のとおり、5000はリストにありません。 私が行方不明になっていることは明らかですか？ご尽力ありがとうございました そのため、別のサービスのTCPポート5000のステータスが定義されていることがわかりました。 ただし、-aオプションを-mfor modifyに置き換えることで、tcpポート5000を追加しましたhttp_port_t

13 port  httpd  selinux 

SELinuxを内部で使用するアプリケーションを配布するために、Dockerコンテナー内にSELinuxをインストールしようとしています。 デフォルトのCentOSイメージにはSELinuxがインストールされていません。 $ docker run -it centos:latest /bin/bash [root@38ae5a98273d /]# sestatus bash: sestatus: command not found yumからインストールした後、SELinuxはまだ有効になっていません。 [root@38ae5a98273d /]# yum install policycoreutils selinux-policy-targeted ... [root@38ae5a98273d /]# sestatus SELinux status: disabled 私が見つけたすべての文書には、システムを再起動してインストールする必要があると書かれています。ただし、Dockerコンテナー内でシステムの再起動をシミュレートする方法は知りません。 コンテナ内にSELinuxをインストールして有効にするにはどうすればよいですか？

13 centos  docker  selinux 

SELinuxは、apacheユーザーが所有するログファイルへの書き込みを禁止しています。私がやるsetenforce 0とうまくいく。それ以外の場合、このエラーが表示されます IOError: [Errno 13] Permission denied: '/var/www/webapp/k/site/k.log' ファイルのセキュリティコンテキスト： $ ll -Z k.log -rw-r--r--. apache apache system_u:object_r:httpd_sys_content_t:s0 k.log ファイルは、SELinuxモードがpermissiveに設定されたときに作成されました。 apacheユーザーがそのディレクトリに書き込みできるようにセキュリティコンテキストを設定する方法は？を使用してそのディレクトリセキュリティコンテキストを設定しましたchconが、適切なファイルタイプが見つかりません。 からaudit.log： type=AVC msg=audit(1409945481.163:1561): avc: denied { append } for pid=16862 comm="httpd" name="k.log" dev="dm-1" ino=201614333 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=file type=SYSCALL msg=audit(1409945481.163:1561): arch=c000003e syscall=2 success=no exit=-13 a0=7fa8080847a0 a1=441 a2=1b6 a3=3 items=0 ppid=15256 pid=16862 …

12 centos  redhat  apache-2.4  selinux  centos7 

免責事項：この質問は、SELinuxがアクティブな間にrootパスワードを変更する問題を解決するものではありません。既に解決している多くのガイドがあります。これは、SELinuxが内部的に行う方法の詳細です。 私は最近SELinuxを使用していますが、最近はもっと連絡を取り合っています。rootパスワードを忘れた場合にリセットする方法を誰かから尋ねられた瞬間がありました。 だから私はCentOSを起動し、grubエントリを次のように編集しました linux16 <kernel_location> root=/dev/mapper/centos-root rw init=/bin/bash 私が走ったpasswd後、走っsyncて強制的に再起動しました。再起動後、新しいパスワードでのログインはもちろん、古いパスワードでのログインも拒否されました。 再起動し、カーネルにSELinuxを無効にするパラメーターを渡しました（selinux=0）。新しいパスワードでログインしてみましたが、うまくいきました。その後、（ファイルを介して.autorelabel）fs自動ラベル変更を強制し、SELinuxがアクティブな状態でログインできるようになりました。 私の質問は：なぜ起こるのですか？ユーザーまたはオブジェクトの変更ではなく、パスワードの変更のみが行われたときに、再ラベル付けがログインに影響を及ぼすのはなぜですか？ ご清聴ありがとうございました。 TL; DR：通常のルートパスワードのリセットは、SELinuxでは機能しません。どうして？ 編集：これは、ハイパーバイザーとしてKVMを使用してCentOS7を実行している仮想マシンでテストされました。

12 centos  redhat  password  selinux 

Linuxでは.autorelabel、ファイルルートにあるファイルは何をします/か？ SELinuxと関係があることは知っていますが、実際に何をするかについての情報は見つかりません。CentOS 6を実行しています。 前もって感謝します。

12 linux  centos  selinux 

私のApache DocumentRoot / var / wwwは、別のパスへのシンボリックリンクです。ターゲットは適切なファイルコンテキストラベル（httpd_sys_content_t）を持っているため、apacheはSELinuxを有効にしてそれを読み取ることができます。ただし、シンボリックリンク自体にはvar_tというラベルが付いています。 [root@localhost var]# ls -lZ lrwxrwxrwx. root root unconfined_u:object_r:var_t:s0 www -> /srv/www httpd_sys_content_tでシンボリックリンクのラベルを変更する必要があります。 -hオプションを指定してchconを実行すると、最初は動作するようです： [root@localhost var]# chcon -h -t httpd_sys_content_t /var/www [root@localhost var]# ls -lZ lrwxrwxrwx. root root unconfined_u:object_r:httpd_sys_content_t:s0 www -> /srv/www ただし、これは再ラベル付けでは無効です。 [root@localhost var]# restorecon -Rv . restorecon reset /var/www context system_u:object_r:httpd_sys_content_t:s0->syst em_u:object_r:var_t:s0 semanageを使用しても、リンク自体のラベルは変更されません。ターゲットのみ： …

12 linux  apache-2.2  permissions  symbolic-link  selinux 

SELinuxがセキュリティベーコンを保存した場所の実例を挙げることができますか？（または必要に応じてAppArmour）。あなた自身ではない場合、信頼できる経験を持つ人へのポインタ？ ラボテストではなく、ホワイトペーパーでも、ベストプラクティスでも、CERTアドバイザリでもありませんが、実際の例、実際のハッキングの試みが途中で止まったというaudit2whyのようなものですか？ （例がない場合は、Answersではなくコメントをコメントにしてください。） ありがとう！

11 linux  security  selinux