タグ付けされた質問 「selinux」

このチュートリアルからxrdpをインストールするようにSELinuxを構成するためにこの行を実行しようとしているときはいつでも： # chcon --type=bin_t /usr/sbin/xrdp # chcon --type=bin_t /usr/sbin/xrdp-sesman 私はこれらのエラーを受け取ります： chcon: can't apply partial context to unlabeled file '/usr/sbin/xrdp' chcon: can't apply partial context to unlabeled file '/usr/sbin/xrdp-sesman' 私はCentOS 7.2 64ビットを使用しています。

9 linux  centos  selinux 

「man ls」を参照した後、「ls -Z」がセキュリティコンテキストを表示できることを示します。 -Z, --context Display security context so it fits on most displays. Displays only mode, user, group, security context and file name. " ls -Z"コマンドを実行すると、出力は次のようになります。 [root@localhost ~]# ls -Z -rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg drwxrwxrwx. root root unconfined_u:object_r:admin_home_t:s0 backup セキュリティコンテキストを理解する方法：unconfined_u:object_r:admin_home_t:s0？「man ls」は情報を提供しません。

9 linux  ls  selinux 

SELinuxは初めてです。debianから来ました。httpdディレクトリへのアクセスを許可したい。 SELinux Alert Browserは以下を提案します： # grep httpd /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp このコマンドがどのように機能するのか理解できませんでした。どこにもディレクトリパスを指定していません。どのようにhttpdを許可するディレクトリを知るのですか？ 以前は、grepを使用して出力またはファイルからテキストを抽出していました。しかし、ここではプロセスでgrepが使用されています。わかりませんでした。 また、実際の解決策は何ですか。httpdにディレクトリへの書き込みアクセスを許可する場合

9 fedora  rhel  apache-httpd  selinux 

安全なサンドボックス環境で、信頼されていないプログラム（学生の割り当て）を評価するプロジェクトを現在開始しています。主なアイデアは、LXCコンテナーを管理するためのlxc-utilsのGlassFishおよびJavaラッパー用のWebアプリを作成することです。待機中のプログラムのキューがあり、JavaラッパーはLXCコンテナーの固定数（プール）を維持し、各プログラムに1つの（未使用）コンテナーを割り当てます。 ホストシステムを保護するには、各コンテナーをSELinuxで保護する必要があります。 私の質問は次のとおりです。サンドボックス環境用にそのようなメカニズムを作成することは良い考えですか、それともこの問題に対するより適切な解決策はありますか？それは軽く、学生の創造性に対して安全でなければなりません。

9 security  selinux  lxc  sandbox  container 

ショートバージョン： Java 7をSELinux（で）で実行できるようにする最も安全な方法は何ですか？ ロングバージョン： 誤った用語を使用した場合は、事前にごめんなさい。私は本当に、ほんの少しのLinuxスキルを持っているJava開発者です。 CentOSリリース5.3（Final）にJava 7をインストールしました。これは明らかにセキュリティが強化されたLinuxです。インストールが完了したら（Oracleからtar.gzファイルを解凍して「インストール」しました/usr/java/jdk/jdk1.7.0_25）、実行java -versionして次のエラーが発生しました。 Error: dl failure on line 864 Error: failed /usr/java/jdk1.7.0_25/jre/lib/i386/server/libjvm.so, because /usr/java/jdk1.7.0_25/jre/lib/i386/server/libjvm.so: cannot restore segment prot after reloc: Permission denied` これはSELinuxが原因である可能性がありsetenforce 0、問題が解消されるかどうかを確認するための記事であることがわかりました。私はそのコマンドを実行し、Javaは機能しました。しかし、これらの同じ記事はsetenforce 0、インターネットに接続されたホストを離れることは危険であり、私のホストはインターネットに接続されていると述べています。 この次のアプローチを提案する他の記事もありますが、それは危険である可能性もあるので、まだ試していません。 chcon -t textrel_shlib_t /usr/jre1.7.0_10/lib/i386/client/libjvm.so ...上記のコマンドでは、コマンドの最後のパスがJDKのパスに置き換えられます。 私が見つけられないのは、Java 7をSELinuxで安全に実行する方法についての「公式」（多くのことを意味する可能性があります）です。誰か私に何か情報がありますか？ 編集：編集 に関する記事を見つけました/etc/selinux/config。下のサンプルのように設定しました。これにより、Javaを実行できますが、セキュリティホールがいくつかあると思います。 # This file controls the state of SELinux on the …

9 linux  java  selinux 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ 質問を更新して、 Unix＆Linux Stack Exchangeのトピックとなるようにしてください。 3年前休業。 私は、ドメイン、タイプ、スイッチングの複雑さを理解できるように、SELinuxを高レベルで学びたいと思っています。 これについて最善の方法は何ですか？私はFedoraと優れたマニュアルから始めることを検討しましたが、Fedoraには非常に多くの事前に作成されたポリシーが付属しているため、やや圧倒的であることがわかりました。 この目的に適した優れたチュートリアルまたは学習ディストリビューションはありますか？

9 linux  selinux 

私はchcon最近たくさんのことをしました、しかし、私がそれを正しく理解すれば、これらは次の再ラベル付けで消去されます。現在のコンテキスト（できれば特定のディレクトリ直下）を永続化する方法はありますか？私はを使用してそれを行う方法があることを理解していますsemanageが、それは、戻ってすべてのファイルのコンテキストをチェックしsemanage、ルールを設定するために呼び出すことを意味します。それを行うための自動化された方法はありますか？

9 selinux 

CentOSにNagiosコアをSELINUX = enforcingで設定しています。 走ろう chcon -R -t httpd_sys_content_t /usr/local/nagios/sbin/ マニュアルで提案されているように、私はこのエラーメッセージを受け取ります： chcon: can't apply partial context to unlabeled file `cmd.cgi' chcon: can't apply partial context to unlabeled file `trends.cgi' chcon: can't apply partial context to unlabeled file `histogram.cgi' chcon: can't apply partial context to unlabeled file `avail.cgi' chcon: can't apply partial …

9 linux  centos  selinux  nagios 

setseboolコマンドは他のLinuxコマンドよりも時間がかかることに気づきました。といった： setsebool -P ftp_home_dir ON 好奇心から、「setsebool」コマンドがタスクを完了するのにこんなに長い時間を必要とする理由を知りたいですか？

9 selinux 

私は.soファイルをロードするDockerコンテナー内で実行されているプログラムを持っています。これは、フックとメモリ操作によってプログラムの動作を変更します。この動作はSELinuxによってブロックされ、監査ログに次のメッセージが表示されます。 type = AVC msg = audit（1548166862.066：2419）：avc：denied {execheap} for pid = 11171 comm = "myProgram" scontext = system_u：system_r：container_t：s0：c426、c629 tcontext = system_u：system_r：container_t：s0： c426、c629 tclass =プロセスの許容値= 0 audit2allow他の場所でこの特定の動作を許可したくないので、これを実行することは非常にためらっています（非常に危険であるため）。 この特定の動作を可能な限り安全な方法で許可するようにSELinuxに指示するにはどうすればよいですか？ 今後、同じプログラムを実行するDockerコンテナーをより多く生成できるようにすることはできますか？

8 docker  selinux 

新しいVMにanacondaをインストールしましたが、その内容を一覧表示できません。ディレクトリを... / anaconda /に変更できますが、入力するls -lと次のようになります。 ls: cannot open directory .: Permission denied しかし、私が入力すると： sudo ls -l 私は得る total 92 drwxrwxrwx. 2 gcw8 PosixUsers 12288 May 26 15:30 bin drwxrwxrwx. 2 gcw8 PosixUsers 12288 May 26 15:30 conda-meta drwxrwxrwx. 3 gcw8 PosixUsers 4096 Mar 27 16:33 docs drwxrwxrwx. 2 gcw8 PosixUsers …

8 permissions  ls  selinux 

アプリを制限された環境にロックするサンドボックスを使用するために、Debian sidにSELinuxをインストールしましたが、動作させることができません。などのオプションなしで、permissiveモードでsandboxコマンドを使用しようとするとsandbox nano、次のエラーが発生します。 /usr/bin/sandbox: [Errno 22] Invalid argument そして、-Xオプションの有無にかかわらず、一時的なホームディレクトリとtmpディレクトリのオプションを指定して実行しようとすると、別のエラーメッセージがポップアップ表示されます。 Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539. Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory サンドボックスアプリを強制モードで使用しようとしましたが、型の強制ルールが欠落しているという不満があります。それは問題ではないと思います。誰かがこれを修正する方法を知っていますか？

8 debian  selinux  sandbox 

Linuxシステムで特定のユーザーグループのプロセス非表示を構成することはできますか？ 例：グループXのユーザーは、ps / topまたは/ procの下のグループYのユーザーが所有するプロセスを表示できません。 SELinuxでこのような設定を構成することは可能ですか？ （私はおかしなgrsecurityパッチセットの同様の機能を漠然と覚えていますが、IIRCの方が一般的でした。さらに、カスタムカーネルを維持する必要なく、標準のLinuxディストリビューションを構成したいと思っています。） 編集：よりわかりやすくするために、Solaris 10にも同様の機能があります。この例はそれほど一般的ではありませんが、ユーザーまたは一部のユーザーがpsなどで自分のプロセスの情報のみを表示できるように構成できます。

8 security  process  selinux  grsecurity  hardening