タグ付けされた質問 「selinux」

実行中のシステムの現在のルールで、selinuxタイプに関連するすべてを知る必要があります。 allow、allowaudit、dontauditルール。 タイプを使用したコンテキストでラベル付けされたファイル。 遷移。 ...その他の情報。 その情報を照会するために使用できるコマンドはありますか、またはすべてのselinux関連の「src」パッケージをダウンロードし、使用されていないモジュールを除外して、その情報のすべてのファイルをgrepする必要がありますか？それを行う簡単な方法がなければなりません。

10 linux  security  selinux 

SELinuxはRedhatをより安全にしますか？ SELinuxを無効にした回数を思い出せません。これは、物事を実行する能力に苛立ち続けたためです。多くの場合、物事がうまくいかなかった明確な理由はありませんでした。その理由を見つけるために、Googleに問い合わせる必要がありました。 エンタープライズユーザーであるRedhatの深刻なユーザーを除いて、ほとんどのカジュアルユーザーが邪魔になると思われる場合にセキュリティを無効にするか弱めますが、SELinuxは本当に便利ですか？ PS。すべてのアプリケーションにわたってSELinuxの問題を記録、追跡、管理するのに役立つツールはありますか？

10 centos  redhat  selinux 

私はでUnixソケットを介してgunicornにnginx転送要求があります/run/gunicorn/socket。デフォルトでは、この動作はSELinuxでは許可されていません。 grep nginx /var/log/audit/audit.log type=SERVICE_START msg=audit(1454358912.455:5390): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=nginx comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' type=AVC msg=audit(1454360194.623:7324): avc: denied { write } for pid=9128 comm="nginx" name="socket" dev="tmpfs" ino=76151 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=sock_file type=SYSCALL msg=audit(1454360194.623:7324): arch=c000003e syscall=42 success=no exit=-13 a0=c a1=1f6fe58 a2=6e a3=7ffee1da5710 items=0 ppid=9127 pid=9128 auid=4294967295 uid=995 gid=993 …

9 nginx  selinux 

CentOS 6.7に問題があります。SSHログインは、このネットワーク上の6.7以外のマシンよりも1大きくなります（例：7.2、5.11）。クライアント側でデバッグを実行すると、「対話型セッションに入る」でハングすることがわかりました。 このテストのベースに使用しているコマンドはtime ssh <host> true、ラップトップからSSHキーを使用したものです。 すでに確認/変更した2つのことはUseDNSおよびGSSAPIAuthenticationであり、両方とも無効になっています。 デバッグをオンにして別のポートで別のデーモンを起動し、短いハングが発生する場所を見つけました。 debug1: SELinux support enabled debug3: ssh_selinux_setup_exec_context: setting execution context {1s hang} debug3: ssh_selinux_setup_exec_context: done SELinuxは「permissive」に設定されています。なぜ「コンテキストの設定」に悩まされるのかはわかりません。SELinuxを完全に無効にすることなく、これら2つをうまくやり遂げる方法はありますか？私は1はそれほど多くないことを理解していますが、この特定のマシンをIPホワイトリストを持つホストへのSSHゲートウェイとして使用します（これは静的IPマシンです）。 straceを実行した後、ハングはもう少し細かくなります。 22:16:05.445032 open("/selinux/user", O_RDWR|O_LARGEFILE) = 4 <0.000090> 22:16:05.445235 write(4, "unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 unconfined_u", 56) = 56 <0.334742> 22:16:05.780128 read(4, "18\0unconfined_u:system_r:prelink_mask_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:abrt_helper_t:s0-s0:c0.c1023\0unconfined_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_notrans_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_execmem_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_java_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mono_t:s0-s0:c0.c1023\0unconfined_u:system_r:chkpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:passwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:updpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:rssh_t:s0-s0:c0.c1023\0unconfined_u:system_r:xauth_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_t:s0-s0:c0.c1023\0unconfined_u:system_r:openshift_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023\0", 4095) = 929 <0.000079> への書き込み/selinux/userは、350msだけかかります。 アップデート1-私が試してからのこと： 更新しています。ボックスの多くは更新が必要です。これによるログイン時間への影響はありません。 semodule -d …

9 centos  ssh  centos6  selinux 

CentOS 5マシンでPhantomJSを使用してスクリーンショットを作成しようとしていますが、SELinuxと連携させることができません。SELinuxが無効になっている同じマシンで動作するので、SELinuxがこれを担当しているのではないかと思います。 これが私が試したこと（すべてのコマンドはルートとして実行された）と私が得たエラーです： $ ls -Z /usr/local/phantomjs/phantomjs-1.6.2-linux-x86_64-dynamic/bin -rwxr-xr-x myusername myusername system_u:object_r:bin_t phantomjs スクリーンショットを試しました-失敗しました $ cat /var/log/messages | grep avc Sep 13 12:21:18 myserver kernel: type=1400 audit(1347531678.014:398): avc: denied { getattr } for pid=6842 comm="sh" path="/sbin/ldconfig" dev=dm-0 ino=3097762 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:ldconfig_exec_t:s0 tclass=file Sep 13 12:21:18 myserver kernel: type=1400 audit(1347531678.014:399): avc: denied { …

9 centos  httpd  selinux  phantomjs 

HTTPDがバインディングカスタムポートへのアクセスを拒否される問題を解決しようとしています。これはSELinuxに関係していると思います。いくつかグーグルしながら、ユーザーがsemanage特定のデータを表示するためのフラグとコマンドを入力して入力しているいくつかの投稿を見つけました。これらの投稿をフォローする際semanage、私もと入力しましたが、私のシステムにはありません。 の結果yum list *semanage*： Installed Packages libsemanage.x86_64 | 2.0.43-4.el6 | @anaconda-CentOS-201106060106.x86_64/6.0 Available Packages libsemanage-devel.x86_64 | 2.0.43-4.el6 | base libsemanage-python.x86_64 | 2.0.43-4.el6 | base libsemanage-static.x86_64 | 2.0.43-4.el6 | base バイナリはこれらの他のパッケージのいずれかで利用できますか？

9 centos  selinux  centos6 

当社にはCentOS 7を搭載したウェブサーバーがあり、お客様はFTP（vsftpd）を介してウェブサイトを管理しています。SELinuxは強制モードです。 問題は、VSFTPDを介して作成/アップロードされたデータが適切なSELinuxコンテキストを継承しないことです。説明させてください。 たとえば、WordPressサイトの場合、サーバーにはそのままの状態で、を使用して表示できるいくつかのルールが既にsemanage fcontext -l |grep '/var/www'あります。 /var/www/html(/.*)?/uploads(/.*)? all files system_u:object_r:httpd_sys_rw_content_t:s0 /var/www/html(/.*)?/wp-content(/.*)? all files system_u:object_r:httpd_sys_rw_content_t:s0 したがって、WordPressサイトをコピーするときに、別のサーバーから/var/www/html/SSHでにあるディレクトリに、フォルダーwp-content/とwp-content/uploads/適切なhttpd_sys_rw_content_tセキュリティコンテキストがあるとしましょう。ただし、これらのフォルダーがFTPを介して作成される場合、それらが取得するコンテキストはhttpd_sys_content_t（rwなし）です。これは、顧客がサーバーにアップロードするサイトは、apacheユーザー/グループに書き込み権限を与えても、それらのディレクトリに書き込むことができないため、WordPress管理者が機能しないことを意味します。そのため、サイトをアップロードするときに、これを修正するためにサポートをリクエストする必要があります。これは関係者全員にとって時間の無駄です。 お客様が自分のサイトをhttpdocsにアップロードしたとします。SSHを使用しmv httpdocs/ httpdocs.2/ && cp -pr httpdocs.2/ httpdocs/ && rm httpdocs.2/ -frて問題が解決した場合、データに問題はありません。 またrestorecon -Rv httpdocs/、問題を修正することもできます。 つまり、質問は、VSFTPDを介して作成/アップロードされたディレクトリに、SSHを介してディレクトリが作成/アップロードされたときに継承されるように、適切なSELinuxコンテキストを継承させるにはどうすればよいですか？

8 linux  centos  selinux  vsftpd 

Linuxファイルシステムにファイルを書き込む必要があるのですが、後で上書き、追加、更新、削除することはできません。sudo-er、root、その他の人によるものではありません。記録管理に関する金融サービス規制FINRA 17A-4の要件を満たそうとしています。FINRA17A-4は、基本的に電子ドキュメントをWORM（1度書き込み、複数読み取り）デバイスに書き込むことを要求しています。DVDや高価なEMC Centeraデバイスを使用する必要はありません。 Linuxファイルシステムはありますか、それともSELinuxは、書き込み後すぐに（または少なくともすぐに）ファイルを完全に不変にする必要があるという要件をサポートできますか？または、誰かがLinuxのアクセス許可などを使用して既存のファイルシステムにこれを強制できる方法を知っていますか？ 読み取り専用権限と不変属性を設定できることを理解しています。しかしもちろん、私はrootユーザーがそれらの設定を解除できることを期待しています。 マウントされていない読み取り専用の小さなボリュームにデータを保存することを検討しましたが、rootはまだマウント解除でき、再度書き込み可能として再マウントできると思います。 私はスマートなアイデアを探しています。最悪のシナリオでは、これを実現するために既存のファイルシステムを「拡張」するために少しコーディングをしたいと思っています。出発点として適切なファイルシステムがあると仮定します。そして、このタイプのネットワークストレージデバイスとして機能するように注意深く構成されたLinuxサーバーを配置し、他には何もしません。 結局のところ、ファイルの暗号化も役に立ちます。

8 linux  filesystems  root  selinux  read-only 

SELinuxのapacheモジュールには、2つの類似したブールパラメータがhttpd_read_user_contentありhttpd_enable_homedirsます。 マンページによると、前者はhttpdがユーザーコンテンツを読み取ることができ、後者はhttpdがホームディレクトリを読み取ることができます。 それらの違いは何ですか？ httpdに/home/fooディレクトリ上のファイルの読み取りを許可する場合、どのパラメーターをtrueに設定する必要がありますか？

8 apache-2.2  selinux 

SSHを使用して自分のCentOSサーバーに接続しようとしています。パスワードでうまく接続できます。公開鍵で接続しようとしていますが、サーバーが公開鍵認証を試みていません。CentOS wikiのこのページのすべての指示に従い、次のことを確認しました。 CentOS 6.0以降を実行しています 私のsshd_configには次のものが含まれています。 PermitRootLogin no PubkeyAuthentication Yes RSAAuthentication yes AuthorizedKeysFile .ssh/authorized_keys クライアントのホームディレクトリの.ssh /フォルダーに秘密鍵を作成しました （によって生成されたssh-keygen）公開鍵の全文は、サーバーのホームディレクトリにある.ssh / authorized_keysファイルの1行を占めます。 クライアントとサーバーの両方で次の許可モードを設定しています。 chmod 700 .ssh chmod 600 .ssh/*

8 centos  ssh  centos6  ssh-keys  selinux 

私はこれと少しの間戦っていましたが、アナコンダがselinux --disabledディレクティブを無視している限り、CentOS 6にはリグレッションがあったようです。これは、RHEL 4.8で最初に登場し、RHEL 5.6で再び登場したようです。 以前のリリースでは、sedステートメントを%postディレクティブに追加して無効にするだけでした。 sed -i -e 's/\(^SELINUX=\).*$/\1permissive/' /etc/selinux/config 私が遭遇している問題は、RHEL / CentOS 6の新機能がデフォルトでファイルシステム属性を設定しているため、これらの属性をクリアする必要があることです。 %postセクションでこれらの属性を削除するために次のコマンドを実行しようとしましたが、効果がありません。 find . -exec setfattr -x security.selinux {} \; 私のキックスタートファイルは、役立つと思われる場合のために以下にあります。 #version=RHEL6 install url --url=http://ny-man01.ds.stackexchange.com/centos/6/os/x86_64 lang en_US.UTF-8 keyboard us %include /tmp/nic-include rootpw --iscrypted <mmm no you don't even get the encrypted version> firewall --service=ssh,ntp,snmp authconfig --enableshadow …

8 centos  selinux  kickstart