タグ付けされた質問 「selinux」

SELinux(Security-Enhanced Linux)は、カーネルの変更とユーザーツールを使用した、Linuxでの柔軟な役割ベースの必須アクセス制御(MAC)アーキテクチャの実装です。これは主に、* nixシステムにある基本的な随意アクセス制御(DAC)メカニズムまたはアクセス制御リストを超えて、システムプロセスとユーザーを制限するために使用されます。

6
再起動せずにSELinuxを無効にする方法は?
SELinuxを無効にする必要がありますが、マシンを再起動できません 私は以下のコマンドを取得するこのリンクをたどった setenforce 0 しかし、このコマンドを実行した後、私はそれをチェックしました sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: disabled Policy version: 24 Policy from config file: targeted 他のオプションはありますか?
50 rhel  selinux 

4
SELinuxが原因で、httpdがフォルダー/ファイルに書き込めない
httpdが/ home / user / htmlへの書き込みアクセスを許可するのはどのseboolか知っていますか?SELinuxを無効echo 0 > /selinux/enforceにすると、書くことができるので、私の問題は間違いなくSELinuxに関連しています。大きな穴を開けずにどれが正しいのかわからないだけで、Googleはあまり助けにはなりません。 #[/home]ls -Z drwxr-x---. user apache unconfined_u:object_r:user_home_dir_t:s0 user #sestatus -b Policy booleans: abrt_anon_write off abrt_handle_event off allow_console_login on allow_cvs_read_shadow off allow_daemons_dump_core on allow_daemons_use_tcp_wrapper off allow_daemons_use_tty on allow_domain_fd_use on allow_execheap off allow_execmem on allow_execmod on allow_execstack on allow_ftpd_anon_write off allow_ftpd_full_access off allow_ftpd_use_cifs off …

1
SELinuxルールは、標準のLinux許可の前後に実施されますか?
SELinuxがシステムにインストールされている場合、標準のLinux許可の前後にルールが適用されますか?たとえば、非ルートLinuxユーザーがLinuxパーミッションでファイルに書き込もうとすると、-rw------- root rootSELinuxルールが最初にチェックされますか、それとも標準ファイルシステムパーミッションが適用され、SELinuxは呼び出されませんか?

3
神話か現実か:SELinuxはrootユーザーを制限できますか?
私はどこかを読んだり聞いたりしました(LinuxCBTのSELinuxコースのことかもしれませんが、確かではありません)。オンラインのLinuxサーバーがあり、rootユーザーのパスワードも与えられています。Linuxサーバーは、SELinuxルールを使用して強化されており、すべてのユーザーがrootユーザーでログインできますが、OSに害を及ぼすことはできません。 私には神話のように思えますが、確認したかったのは、Linuxユーザーを(おそらくSELinuxで)強化して、rootユーザーでさえ特定の悪意のある活動を実行できないようにすることですか?(例:システムファイルの削除、ログファイルの消去、重要なサービスの停止など) このようなLinuxボックスは、ハニーポットを構築するための素晴らしい出発点になります。 編集: 回答(現在削除済み)と少しのグーグルに基づいて、このような強化されたLinuxサーバーを指摘するリンクを少なくとも2つ入手しました。残念ながら、両方のサーバーがダウンしています。記録のために、ここに説明をコピーして貼り付けます。 1)http://www.coker.com.au/selinux/play.htmlから: SE Linuxマシンでの無料ルートアクセス! Debianプレイマシンsshにplay.coker.com.auからアクセスするにはとしてするには、パスワードは... このようなマシンを正常に実行するには、多くのスキルが必要です。実行するかどうかを尋ねる必要がある場合、答えは「いいえ」です。 これの目的は、必要なすべてのセキュリティがUnix権限なしでSE Linuxによって提供できることを実証することです(ただし、実サーバーにもUni​​x権限を使用することをお勧めします)。また、SEマシンにログインして、それがどのようなものかを確認する機会を提供します。 SE Linuxプレイマシンにログインするときは、ログインする前に-xオプションを使用してX11転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardX11 noを設定してください。また、ログインする前に、-aオプションを使用してsshエージェント転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardAgent noを設定してください。これらの設定を正しく無効にしないと、プレイマシンにログインすると、SSHクライアントを介して攻撃を受ける危険があります。 これを議論するためのIRCチャンネルがあり、それがある#selinuxにirc.freenode.net。 ここに簡単なFAQがあります 2)http://www.osnews.com/comments/3731から 強化されたGentooの目的は、Gentooを高セキュリティ、高安定性の本番サーバー環境で実行可能にすることです。このプロジェクトは、Gentoo本体から切り離されたスタンドアロンのプロジェクトではありません。強力なセキュリティと安定性を提供するソリューションをGentooに提供することに焦点を当てたGentoo開発者のチームになることを意図しています。このマシンは、強化されたGentooのSELinuxのあるデモ機。主な用途は、SELinux統合とポリシーのテストと監査です。

2
Linuxボックスを強化するために何を使用しますか?Apparmor、SELinux、grsecurity、SMACK、chroot?
デスクトップマシンとしてLinuxに戻る予定です。より安全にしたいと思います。そして、特に私が自分のサーバーを手に入れることを計画しているので、いくつかの強化テクニックを試してください。 適切な健全化戦略とは何でしょうか?どのツールを使用する必要があります-Apparmor、SELinux、SMACK、chroot? Apparmorなどのツールを1つだけ使用するか、上記の組み合わせを使用する必要がありますか? これらのツールにはどのような利点/欠点がありますか?他に何かありますか? セキュリティ(改善)比率に対する正しい構成はどれですか? デスクトップ環境でどちらを使用したいですか?サーバー環境のどれ。 非常に多くの質問。

3
LinuxファイルセキュリティでDAC(ファイルのアクセス許可)、ACL、およびMAC(SELinux)はどのような役割を果たしますか?
LinuxファイルのセキュリティにおけるDAC、ACL、およびMACのさまざまな役割について、明確化/確認/詳細化が必要です。 ドキュメントからのいくつかの調査の後、これはスタックの私の理解です: SELinuxは、ファイルオブジェクトへのアクセスを許可する必要があります。 ファイルのACLが(例えば、場合setfacl、getfaclACL用のマウント)明示的に可能にする/オブジェクトへのアクセスを拒否し、それ以上の処理は必要ありません。 それ以外の場合は、ファイルの権限(rwxrwxrwx DACモデル)に依存します。 何か不足していますか?これが当てはまらない状況はありますか?

2
SELinuxは、面倒な学習/セットアップに見合うだけの十分なセキュリティを提供しますか?
私は最近、自宅のPCにFedora 14をインストールし、Apache、mysql、ftp、vpn、sshなどのさまざまなサーバー関連機能の設定に取り組んでいます。以前に聞いたことがありませんでした。いくつかの調査を行った後、ほとんどの人は、面倒なことに対処するのではなく、無効にするだけでよいと考えているように見えました。個人的にそれが本当により多くのセキュリティを追加するならば、私は適切にそれを設定する方法を学ぶことの頭痛に対処することに反対していません。最終的には、このPCがリモートでアクセスできるようにネットワークを開く予定ですが、安全であると確信する(多かれ少なかれ)までそのようなことはしたくありません。設定して正しく機能している場合、時間と手間をかける価値があったと思いますか?本当に安全ですか?あなたがそれを使用することをオプトアウトした場合、その決定は私の状況でも考慮する価値のある研究に基づいていましたか?

1
RPM .specでSELinuxコンテキストを設定する適切な方法は何ですか?
私はRHEL4と5をターゲットとするRPMを構築しようとしていますが、今は複数のGoogleエントリchconから%post「それはあなたのやり方ではありません」と言われていますが、正しい方法は非常に限られています。またfixfiles -R mypackage check、ファイルが正しい場合、ファイルが間違っていると言うことに気付きました(予想どおり、RPM DBは私が望むものを認識しません)。 それがないので、私は、具体的RHEL4を言わないで持ってsemanage、それを行うには、適切な方法の一つであると思われます。(新しいポリシーを追加してrestoreconから、ディレクトリで実行します%post。) また、httpd_cache_t標準ではないディレクトリ上で、独自のコンテキストは必要ありません。 「cpio世話をしましょう」も見たことがありますが、非ルートRPMビルドユーザーがchconビルドディレクトリで実行できないという新しい問題があります。私はごまかしsudoてspecファイルにありましたが、それはとにかく重要ではないようでした。
14 compiling  rpm  selinux 


8
プロセスがファイルを書き込むのを防ぐ方法
Linuxでコマンドを実行して、書き込むファイルを作成または開くことができないようにしたいのですが。それでも通常どおりファイルを読み取ることができ(空のchrootはオプションではありません)、すでに開いているファイル(特にstdout)に書き込むことができます。 特定のディレクトリ(つまり、現在のディレクトリ)へのファイルの書き込みが引き続き可能かどうかは、ボーナスポイントです。 私はプロセスローカルなソリューションを探しています。つまり、システム全体のAppArmorやSELinuxなどの設定や、ルート権限を必要としません。ただし、カーネルモジュールのインストールが必要になる場合があります。 私は機能を検討していましたが、ファイルを作成する機能があれば、これらは素晴らしく簡単でした。ulimitは、このユースケースをカバーしている場合に便利な別のアプローチです。

3
Linuxセキュリティ拒否のプロンプトユーザー
アプリケーションが分類されたファイルやフォルダー(デジタル署名、SSHキー、クレジットカード情報、その他の機密事項)にアクセスしたいときに、Linuxセキュリティモジュール(AppArmor、SELinuxなど)にユーザーにプロンプ​​トを表示させることは可能ですか?望まれる可能性のあるアプリケーションのアクションを拒否する(たとえば、ユーザーの要求に応じて電子メールに署名したい電子メールクライアント)。 脆弱なアプリケーション(特にWebブラウザーとメールクライアント)に厳密なデフォルトのセキュリティポリシーを設定し、ユーザーに特定のアクションが必要かどうかを判断させると有益です。ユーザーを悪化させることなくシステムの脆弱性を回避できます。親しみやすさ。

1
カスタムSELinuxラベルを作成する方法
私はFedora 24で実行しようとしているサービス/シングルバイナリアプリを作成しました。それはsystemdを使用して実行され、バイナリは /srv/bot 私が書いたこのサービス/アプリは、このディレクトリでファイルを作成/オープン/読み取りして名前を変更する必要があります。 私は最初にSELinuxに基づく新しいポリシーの作成を開始しました:プロセスが特定のディレクトリにファイルを作成できるようにします しかし、私のアプリが名前を変更する必要がある場合、出力には警告がありました: #!!!! WARNING: 'var_t' is a base type. allow init_t var_t:file rename; 探し回ったところ、ベースタイプよりも具体的なSELinuxラベルを使用する必要があることがわかりましたが、オンラインのすべての例では、httpd / nginx / etcの既存のラベルが表示されています。 自分のアプリだけにカスタムラベルを作成する方法はありますか? 私のアイデアは、myapp_var_tのようなものを作成することです。 semanage fcontext -a -t my_app_var_t '/srv/bot(/.*)?' restorecon -R -v /srv/bot .ppこのカスタムタイプを使用するカスタムファイル それを解決するより良い方法があれば、それもうまくいきます。 ありがとう 更新 もっと調べた後、私がやりたいことの適切な用語はtypes、https://docs.fedoraproject.org/en-US/Fedora/13/html/SELinux_FAQ/index.html#id3036916に導いた新しいもの を作成することだと思います 基本的に言う、実行 sepolgen /path/to/binary そして、ppファイルにコンパイルして読み込むことができるテンプレートを取得することができましたが、それでもいくつかのエラーが発生しますが、やりたいことに近いように見えます。 機能するようになったら、この投稿を更新します

1
CGIスクリプトからのアウトバウンド接続を許可するようにSELinuxを構成するにはどうすればよいですか?
SELinuxがセットアップされた(Centos 5.5を実行している)新しいWebサーバーに移行しています。問題なくCGIスクリプトを実行できるように設定しましたが、古いPerlベースのスクリプトの一部がリモートWebサービス(RSSフィードなど)に接続できません。 実行:grep perl /var/log/audit/audit.log与える: type = SYSCALL msg = audit(1299612513.302:7650):arch = 40000003 syscall = 102 success = no exit = -13 a0 = 3 a1 = bfb3eb90 a2 = 57c86c a3 = 10 items = 0 ppid = 22342 pid = 22558 auid = 0 uid = 48 gid …
10 centos  selinux 

2
SELinuxは、oddjobd-mkhomedirが非標準の場所にユーザーのホームディレクトリを作成することを許可していません
CentOSサーバー上のユーザーを認証するためにSSSDを使用しています。oddjobd-mkhomedirは、デフォルトのホームディレクトリが/ homeの場合に完全に正常に機能しますが、特定のサーバーでは、デフォルトのホームディレクトリをSANマウント上の/ dataに変更する必要がありました。 これで、ユーザーがログインしようとするたびに、次のメッセージとともにbashシェルにドロップされます。 Creating home directory for first.last. Could not chdir to home directory /data/X.Y.local/first.last: No such file or directory -bash-4.1$ 試行ごとに次のAVC拒否メッセージが表示されます。 type=AVC msg=audit(1492004159.114:1428): avc: denied { create } for pid=2832 comm="mkhomedir" name="x.y.local" scontext=system_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023 tcontext=system_u:object_r:default_t:s0 tclass=dir / dataのコンテキストを必ず変更してください。 drwxr-xr-x. root root system_u:object_r:home_root_t:s0 data / dataが/ homeと同じコンテキストを持っている場合、SELinuxはoddjobdに/data/XYlocal/first.lastの作成を制限しているのはなぜですか? # sestatus SELinux …
9 selinux 

4
selinuxを無効にすると何が問題になるのか[終了]
休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか?この投稿を編集して、事実と引用で回答できるように質問を更新してください。 3年前休業。 私たちは他のチームから多数の中古サーバーを引き継ぎました。SELinuxが有効になっているものもあれば、そうでないものもあります。SELinuxが原因で、パスワードなしのsshやウェブサーバーなどの設定に問題があります。このstackexchangeサイトで回避策が見つかりました。 restorecon -R -v ~/.ssh ただし、ここではSELinuxを実行する必要がないため、パーミッションが必要なディレクトリで上記のコマンドを実行することを覚えておくよりも、オフにする方が簡単な場合があります。 将来の影響なしにSELinuxをオフにできますか、それともサーバーのイメージを再作成するだけの方が良いですか?注意すべきことが1つあります。私たちのITグループは非常に忙しいので、絶対に必要でない限り(非常に優れたビジネスケースが必要です)、または誰かがスコッチまたはウイスキーのボトルで上司に賄賂を贈らない限り、サーバーのリストを再作成する必要はありません。 更新:みんなの提案とアドバイスをありがとう。これらのサーバーはすべて内部開発サーバーとして使用されます。これらのマシンへの外部からのアクセスはないため、セキュリティはそれほど重要ではありません。現在使用しているすべてのサーバー(私の知る限り)では、SELinuxが有効になっていません。私のマネージャーが取得したもののいくつかは機能しますが、それらは私たちが無効化しようとしているものなので、クラスター内のすべてが均一です。
9 linux  ssh  selinux 

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.