２ちゃんねる ■掲示板に戻る■ 全部 1- 最新50

■ このスレッドは過去ログ倉庫に格納されています

SE (security enhanced) Linux

314 ：ひﾟょん♂：2006/07/21(金) 18:21:36 ID:vpOGPyfK.net ?: WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく！
315 ：login:Penguin：2006/07/26(水) 01:51:01 ID:E/yMm3qA.net: ttp://ja.wikipedia.org/wiki/SELinux
これだな
316 ：login:Penguin：2006/07/28(金) 20:01:21 ID:naP4/z2F.net: >>314 さん、残念！
317 ：login:Penguin：2006/07/29(土) 01:05:53 ID:ooO7KrP9.net: GFDL違反だったのね。はやく直してね
318 ：ひﾟょん♂：2006/07/30(日) 18:46:31 ID:7OZFwZRa.net ?2BP(11): ｏｒｚ　
ひﾟょん♂はめげないびょん！　
みんなの努力は無駄にしないびょん！
319 ：login:Penguin：2006/08/08(火) 02:17:53 ID:kKxQ5ddh.net: /etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)

どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。

ちなみにOSはCentOS4.3です。
320 ：login:Penguin：2006/08/09(水) 08:31:49 ID:sAXh/maJ.net: おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん（ｗ
321 ：login:Penguin：2006/08/09(水) 13:03:21 ID:EvfB/Ijo.net: よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ﾟДﾟ)oﾌﾞﾝﾌﾞﾝ
322 ：login:Penguin：2006/08/10(木) 11:49:00 ID:BuQH6vVh.net: >>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況？
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな？

てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目？
323 ：login:Penguin：2006/08/10(木) 19:48:38 ID:P0AUZ9Cm.net: >>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする？と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。

sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。

対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。

/etc/init.d/postgresqlがいいサンプルです。いじょ
324 ：319：2006/08/11(金) 20:54:13 ID:FuajfgM8.net: >>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。

ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。
325 ：login:Penguin：2006/08/12(土) 01:52:44 ID:zNJFRxv2.net: そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ？
326 ：login:Penguin：2006/08/12(土) 01:56:48 ID:lXyPDQFa.net: 労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。

jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。
327 ：login:Penguin：2006/08/12(土) 13:00:38 ID:qaCnxs+9.net: まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。

守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。
328 ：login:Penguin：2006/08/13(日) 15:10:02 ID:MX6/xln0.net: ACLでもroot権限がある限り意味なくね？
329 ：login:Penguin：2006/08/13(日) 15:24:08 ID:9z7pAa4b.net: rootのっとられたらそりゃ終わりさ。
330 ：login:Penguin：2006/08/14(月) 01:06:55 ID:n3hb6PHF.net: 管理者権限奪取を防ぐのがSELinuxじゃないの？
企業とか個人とかの問題ではないような
331 ：login:Penguin：2006/08/14(月) 01:23:14 ID:6sxGzDLo.net: 管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。

でも全Linuxerの何%がポリシー作るところからやってるのかな？
332 ：322：2006/08/14(月) 13:06:55 ID:PGuDhi6G.net: >>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり？

>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば？という話になるし。
（POSIX ACL。Kernel2.6以降で利用可）

>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用）
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。

まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。
333 ：login:Penguin：2006/08/14(月) 23:17:47 ID:6sxGzDLo.net: >332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)

>人間業じゃなくて神業の領域だけど。
だよねえ。。
334 ：login:Penguin：2006/08/14(月) 23:45:50 ID:n3hb6PHF.net: TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー
335 ：323：2006/08/15(火) 21:20:16 ID:2nHPUtyi.net: >>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
　# And start it up.
　if [ -z "$user" ]; then
　　$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
　else
　　$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
　fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。
336 ：login:Penguin：2006/08/16(水) 15:29:47 ID:fEuPMp3H.net: これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能？
337 ：login:Penguin：2006/08/18(金) 13:01:52 ID:TZakQUvB.net: SELinuxって実はけっこう使われているの？
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから
338 ：login:Penguin：2006/08/18(金) 13:49:56 ID:GqAwobo6.net: Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。
339 ：login:Penguin：2006/08/24(木) 01:15:31 ID:jMRHgiY/.net: unconfined_tってフルアクセス権じゃないってこと？
340 ：login:Penguin：2006/09/19(火) 03:54:30 ID:SAA96Un5.net: 思ったほど難しくないよね
341 ：319：2006/10/07(土) 01:49:39 ID:0VQxcj1l.net: 結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。

このスレも廃れてますね…
342 ：login:Penguin：2006/11/24(金) 22:38:24 ID:wx5gf/fe.net: 誰か、これわかる？
ttp://bbs.fedora.jp/read.php?FID=9&TID=4775
343 ：login:Penguin：2006/11/26(日) 02:08:18 ID:fQeoc878.net: SELinux儲かってる？
344 ：login:Penguin：2006/12/04(月) 23:54:45 ID:g4pIfnK5.net: >>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ

継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、５年後位には変更が
超困難なシステムになってそう。
345 ：login:Penguin：2006/12/08(金) 02:26:01 ID:uYBNBzil.net: メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない？
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない？
346 ：login:Penguin：2006/12/14(木) 01:16:38 ID:FEduJ84b.net: そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。

非常にうまいパズルみたいな設定を思いついても、未来の自分とか５年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。
347 ：login:Penguin：2007/01/01(月) 14:03:54 ID:ZA4pg8/A.net: サーバのセットアップは10%が設定で90%がドキュメント書きです。
348 ：login:Penguin：2007/01/01(月) 17:06:03 ID:cCEHaAby.net: しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・
349 ：login:Penguin：2007/01/01(月) 21:18:49 ID:ZA4pg8/A.net: あるあ・・・・・

・・・ある
350 ：login:Penguin：2007/02/03(土) 21:22:32 ID:genGKaeR.net: SEEdit使えるディス鳥だと滅茶苦茶楽なのね
351 ：login:Penguin：2007/02/03(土) 23:18:08 ID:Mbd9W+hX.net: >>350
debianにも対応して欲すい。
352 ：login:Penguin：2007/02/03(土) 23:58:53 ID:95H1oCnY.net: SLIDE
http://oss.tresys.com/projects/slide
353 ：login:Penguin：2007/02/04(日) 01:24:01 ID:JEZbmpW6.net: >>352
うーむ。玄人向けのツールでつねw。
354 ：login:Penguin：2007/02/04(日) 15:36:22 ID:5jUhfyFG.net: restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。
355 ：login:Penguin：2007/02/04(日) 18:51:49 ID:weMH9ex9.net: >>354
どういうこと?
356 ：login:Penguin：2007/02/14(水) 02:14:49 ID:7vXpsxj1.net: http://pc9.2ch.net/test/read.cgi/mac/1171230282/64-66 によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです
357 ：login:Penguin：2007/02/14(水) 02:58:07 ID:m4IlMoGA.net: セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。

SEBSDだってSEDarwinだってあるのにねー。

まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。
358 ：login:Penguin：2007/02/14(水) 08:58:01 ID:niX0xEiK.net: Debian sidでSELinuxを有効にしてみた。

ttp://wiki.debian.org/SELinux

を見てやってみた。とりあえずpassiveモードで動かすことにしよう。

動かした後は、

ttp://fedora.redhat.com/docs/selinux-faq-fc5/

に書かれていることの方が詳しいらしい。英語だけど。
359 ：login:Penguin：2007/02/14(水) 16:28:27 ID:1y5ZKtbN.net: 慣れれば簡単だよ。がんばれ！
360 ：login:Penguin：2007/02/15(木) 03:14:44 ID:m3smwIxK.net: 今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった

Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった

しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。

どうやったらSamba使ってのファイルの移動ができるようになりますか？
SELinuxをオフとかPassiveモードはなしでお願いします。
361 ：login:Penguin：2007/02/15(木) 03:57:07 ID:m3smwIxK.net: げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったｗ
Linux触って1ヶ月も経たない俺じゃ無理だな

SELinux OFF。。。
362 ：login:Penguin：2007/02/15(木) 08:57:40 ID:43dnQNxp.net: SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。
363 ：login:Penguin：2007/02/16(金) 01:34:40 ID:wqIfZsXx.net: SELinuxでSamba使えるようにするおまじないってあるのか？
もれは挫折したよｗ
364 ：login:Penguin：2007/02/20(火) 03:52:53 ID:Ca1ZTyX/.net: samba_enable_home_dirs
365 ：login:Penguin：2007/02/21(水) 09:08:43 ID:LnST7+x3.net: こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。

こういうものは、GUIツールで
カテゴリ別に分類し、
説明（当然日本語）を横に併記するツールを
使わないと手におえない。

昔のアドベンチャーゲームみたいだよ。
しっているか？昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。

「go west」「open door」見たいにね。
こんなの今やりたいと思う？
366 ：login:Penguin：2007/02/22(木) 10:08:59 ID:Npz4O/wL.net: GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。
367 ：login:Penguin：2007/02/22(木) 17:04:53 ID:sTb3TkGi.net: >>365
polish pillar
368 ：login:Penguin：2007/02/23(金) 01:34:09 ID:qdcf1zF9.net: >>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った
369 ：login:Penguin：2007/03/11(日) 08:22:06 ID:wX/2NnTP.net: SEポスグレってすごいの？
370 ：login:Penguin：2007/04/06(金) 01:06:33 ID:UPWHeFdH.net: で、誰か実際につかっているの？
371 ：login:Penguin：2007/04/06(金) 04:13:38 ID:cKBkkTOC.net: ノ
372 ：login:Penguin：2007/04/08(日) 14:11:42 ID:LO1Xtzj3.net: /opt以下につっこんであるやつの設定を追加しようとしたけど
元々の/optのが優先されててだめぽ
なんか悔しいぞ
373 ：login:Penguin：2007/04/10(火) 02:00:50 ID:hMSFLh9c.net: ↑？
374 ：login:Penguin：2007/04/10(火) 02:54:48 ID:rNCKWXPT.net: Security Contextを貼り付けたいんだけど、
既に定義が書かれていてコンフリクトした挙句、
元々のが優先されるって意味だと解釈してみるテスト
375 ：login:Penguin：2007/04/22(日) 01:35:18 ID:PB4N3AEh.net: >>374
semanageでファイルコンテキストを設定できるにょ。
376 ：login:Penguin：2007/05/10(木) 18:20:01 ID:BLf25W9d.net: えっと
今 CentOS 5.0 + Apache 2.2.3 + SELinux でドツボにはまってます。
google先生に聞いても埒があかない状態で困ってます。

まずは、ここにあることは全部やったんです。
ttp://bbs.fedora.jp/read.php?FID=9&TID=4246

だけど
chcon -R -t public_content_rw_t public_html
をやると、cgi(Perl記述のもの) が正常に実行されません。
Internal Server Error です。

/var/log/httpd/suexec.log をみると
「cannot get docroot information (/home/user1)」が出ています。

suexecは有効になっていません。(apachectl -V って実行すれば確認できるんですよね？)
setenforce 0 をすると動くし、
/sbin/restorecon -RF public_html をすると動くんです。

もし、何らかのヒント、キーワードなどを提示できる方がいらっしゃいましたら、ご教示お願いします。
377 ：login:Penguin：2007/05/10(木) 19:18:43 ID:NluEhGm9.net: えーと、俺まだ4.4使ってるんで詳しいことは分からないのだが、まずはgetseboolしてごらん。
378 ：376：2007/05/11(金) 14:21:27 ID:Nl1Y51hb.net: えっと、すいません。
getsebool -a 眺めてもさっぱりわかりませんでした。

んで、その中に
httpd_enable_ftp_server
なんてものを見つけて、これをONにしたら、

chcon -R -t public_content_rw_t public_html
/usr/sbin/setsebool -P allow_ftpd_anon_write 1
/usr/sbin/setsebool -P allow_smbd_anon_write 1

これらをやらなくてもちゃんと FTP で読み書きできるじゃないですか。。。

Sambaでのpublic_htmlは、便利とともに、問題も感じていたので、
この際、FTPベースでの運用に切り替えたいと思います。

どうもありがとうございました。
379 ：377：2007/05/11(金) 14:35:57 ID:Yp1rNt+V.net: 実験環境の5で見てみたけど
man httpd_selinuxしても、まだhttpd_enable_ftp_serverの説明はないみたいだね。
一応、httpd_selinuxのmanが書かれた時期は
public_content_*_tにすることでSambaやらhttpdやらで共有できるようにはなるとある。
…まぁ、targetedならsambaにせよ、幾つかseboolのフラグ変えるだけで問題ないんだけどね。
380 ：login:Penguin：2007/06/16(土) 21:03:04 ID:TVeCm9rc.net: seeditの*.deb版マダー？
381 ：login:Penguin：2007/06/21(木) 19:27:53 ID:Li79wnCV.net: http://www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html
382 ：login:Penguin：2007/06/30(土) 23:12:48 ID:k22DBsYL.net: >>381
> http://www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html

でも、まだまだSELinuxって使いにくいよねぇ。
383 ：login:Penguin：2007/07/04(水) 12:50:00 ID:53ILzz44.net: TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
１００００００ペリカ
384 ：login:Penguin：2007/07/07(土) 13:43:54 ID:gAah8Via.net: 習合って……双方の開発主体を知ってて言ってる？

だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
ttp://esashi.mobi/~matthew/wordpress/archives/80
ここいら見てみなよ。

あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。
385 ：login:Penguin：2007/11/08(木) 02:31:23 ID:2bvNqaeb.net: SELinuxを有効化した導入は進んでますか？
386 ：login:Penguin：2007/11/16(金) 03:49:29 ID:Mx9qhpa0.net: ubuntuでselinux入れてみた
動かない　MLで揉めてるふいんきだｗ
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ　ｳｰﾑ
ぐぐってるとバグだらけのｵｶﾝ
387 ：login:Penguin：2007/11/16(金) 08:08:20 ID:ub3hseD8.net: >>386
ディストロに拘りがないなら Fedora にしてみたら？
今のところ、俺のところでは特に問題なく動いてるよ。
388 ：login:Penguin：2007/11/17(土) 21:10:08 ID:67XJ07B1.net: >>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよｗ
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな　茨の道はまだまだ続く
389 ：login:Penguin：2007/12/28(金) 22:07:31 ID:XM+yOsqH.net: ・kernelに権限昇格の脆弱性がある
・WEBアプリ（PHPやCGI）に脆弱性があって、ローカルアタックかけられる状態

この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか？
390 ：login:Penguin：2008/01/02(水) 18:01:48 ID:uxhAJiRr.net: age
391 ：login:Penguin：2008/01/13(日) 21:53:54 ID:8SqKnp92.net: help me

SELinuxを勉強したいんで頑張ってます。

MySQLは起動してるんですが（シェルから入れる）
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。
392 ：login:Penguin：2008/01/13(日) 21:57:28 ID:8SqKnp92.net: あ！httpd_can_network_connect_db=1にしたら接続できました！
お騒がせして申し訳ない。
393 ：login:Penguin：2009/03/01(日) 12:10:06 ID:qMTRjR4D.net: ぬるぽ
394 ：login:Penguin：2009/08/21(金) 00:31:37 ID:vWWwB5xm.net: >393
ガ
395 ：login:Penguin：2009/08/21(金) 00:32:43 ID:vWWwB5xm.net: ぬるぽ
396 ：login:Penguin：2009/12/07(月) 18:43:23 ID:OGpjrFHy.net: age
397 ：login:Penguin：2010/05/01(土) 03:55:35 ID:JD7CTqnP.net: ume
398 ：login:Penguin：2010/06/18(金) 17:52:29 ID:4PZCz8Ns.net: すっかり廃れてるスレみたいですが、seedit 公式フォーラムの方が死んでるようなので
質問させてください。

CentOS 5.5 に seedit をインストールしてみましたが、
設定後 audit.log を一旦削除 & 再起動して /var/log/audit/audit.log を見ると
seedit インストール前とまったく同じ denied が出てしまいます。
また、再度 audit2spdl を実行すると前回と同様の(既に追加済の)ポリシーが suggest されます。
# ポリシーの追加は各 .sp の最後の } の直前(つまりポリシーの末尾)に書き込み

あるいは、(例えば) seedit-template -d proftpd_t -e /usr/sbin/proftpd > proftpd_t.sp
などとやって新規のドメインを作成 & 適用 & 再起動後、
seedit-unconfined -e | grep proftpd してみると
xxxx proftpd Unconfined(initrc_t) と unconfined のまま。

ということで、ポリシーの変更がまったく反映されません。
マニュアル再読 & ぐぐってインストール事例など見てみても特に間違ってるように見えません
…が、何かを見落としてる or 勘違いをしているのだろうと思われます。
何をどうすればいいのか、ご指摘頂けると助かります。
399 ：398：2010/06/18(金) 17:53:21 ID:4PZCz8Ns.net: ちなみに行ったインストール手順は以下の通りです。

(1)Permissive にする
(2)checkpolicy および setroubleshoot を yum でインストール
(3)seedit-2.2.0-1.cos5.i386.rpm および seedit-policy-2.2.0-1.cos5.i386.rpmをダウンロード
(4)rpm -ihv seedit*
(5)/usr/sbin/seedit-init
(6)reboot
(7)sestatus で Policy from config file: seedit になっていることを確認
(8)audit2spdl -al で suggest されたポリシーを /etc/seedit/policy 下の各ファイルに追加
(9)seedit-load
(10)reboot
400 ：login:Penguin：2010/07/15(木) 13:39:37 ID:MeHwGS/A.net
401 ：login:Penguin：2011/03/20(日) 16:36:55.90 ID:F5EWEsOm.net: 保守
402 ：忍法帖【Lv=1,xxxP】【東電 61.4 %】：2011/06/04(土) 04:42:15.02 ID:ktq29VTb.net: # ls -Z /home/
drwx------. hoge hoge unconfined_u:object_r:user_home_dir_t:s0 hoge
drwx------. homu homu system_u:object_r:user_home_dir_t:s0 homu
この場合、上記のhoge,homuのどちらが正しいのでしょうか？
CentOS5.5では、user_uとなっていたような気もします
403 ：忍法帖【Lv=8,xxxP】【東電 83.9 %】：2012/01/30(月) 22:08:51.97 ID:rrkGKDo8.net: test
404 ：login:Penguin：2012/03/20(火) 15:19:53.45 ID:IXaehMTV.net: SELinuxの夜
http://togetter.com/li/275551
405 ：login:Penguin：2012/05/02(水) 23:49:00.41 ID:Q4+W5jiO.net: ちょっとおちつけ
406 ：login:Penguin：2012/05/02(水) 23:49:04.93 ID:oE+9B6Fd.net: まぬけw
407 ：忍法帖【Lv=11,xxxPT】【東電 76.0 %】：2012/07/04(水) 13:02:57.75 ID:C55E9BCL.net: test
408 ：login:Penguin：2012/09/26(水) 16:52:48.77 ID:dxwKWC8U.net: SEで始まってXで終わるものなーんだ？
409 ：login:Penguin：2013/03/30(土) 14:30:37.80 ID:zUTuUrM8.net: SELinux開発者の一人から重要なメッセージ
ttp://www.youtube.com/watch?v=QJJm65xWtwY

RHELのクローンやめるかもしれんらしいぞ・・・
410 ：login:Penguin：2013/03/30(土) 14:32:14.36 ID:O4GJMhOE.net: >>409
まあこういう考え方もあるからいいんじゃないか？
411 ：login:Penguin：2013/10/25(金) 19:27:28.89 ID:gmvB6o68.net: SELinuxって今はどうなってるの？
AppAmor にみんなは乗り換えてるの？
それとも TOMOYO ?
412 ：login:Penguin：2013/10/26(土) 04:06:51.65 ID:pVZL2Jjg.net: Fedoraではデフォで有効だから
それなりに使っている人はいるのではないかと
413 ：login:Penguin：2013/10/26(土) 21:11:08.17 ID:CsTzt1Rv.net: Fedoraではデフォで有効だから
それを無効にしてる人が多数ではないかと
414 ：login:Penguin：2013/10/26(土) 21:14:31.95 ID:aGYU+/C8.net: トモヨってもあるけど、OSではないだろ
415 ：login:Penguin：2013/10/29(火) 18:08:55.91 ID:SW8Cukgh.net: >>1

SELinuxてNSA製だけど大丈夫なんかないろいろと

米帝NSA「海底ケーブル出口でデータ全部ぶっこ抜いて分析してた」
http://engawa.2ch.net/test/read.cgi/poverty/1382969585/
416 ：login:Penguin：2013/10/29(火) 21:39:47.29 ID:cZcC9k2d.net: >>415
そういえば、たしかにNSA製だったな…
使うのは止めたほうがいいのかな？
417 ：login:Penguin：2013/10/30(水) 08:46:45.22 ID:rECfpEAz.net: >>415
まったくsecureじゃない件ｗ
今まで使ってたけどこれはトモヨさんに乗り換えるべきかなあ？
418 ：login:Penguin：2013/10/30(水) 08:49:59.67 ID:sz9ilwYt.net: どうぞどうぞ。
419 ：login:Penguin：2013/11/05(火) 22:40:35.01 ID:B9C1D+af.net: SELinuxの本体はcoreutilsなん？
これさえインストールしなければ大丈夫なのか、
あるいはlibとリンクしているだけでも危ないとなると、
殆どの大手サーバアプリはグレーということになり、相当厄介だぞ…。
420 ：login:Penguin：2013/11/05(火) 23:49:04.55 ID:B2hfU4oc.net: >>419
ソース見て指摘してくれる？
421 ：login:Penguin：2013/11/06(水) 00:39:50.02 ID:nonnr+x1.net: こりゃもう自作 OS しか使えないな。
422 ：login:Penguin：2013/11/06(水) 15:15:50.43 ID:wLIzoaY1.net: RPMでもdebでもいいから試しにlibselinuxをアンインストールしようとしてみろ。
たくさんのパッケージ、それもサーバ用途のものほど
libselinuxとリンクしていることは、ソースを見なくても分かる。

もちろんどんな危険があるかは未知数だけど、それを検証するための掲示板なわけ。
「あるかないか分からない危険は論じなくてよい」というのはただの詭弁で、
「起こるかどうか分からない火事は予防しなくてよい」というのと同じこと。
根本的にセキュリティなんて不必要ということになってしまう。

>>421
コンパイルオプションで外せるものもあったはず。
一から作るよりはソースの修正やコンパイルオプションで対応した方が…。
423 ：login:Penguin：2013/11/06(水) 15:16:51.10 ID:nonnr+x1.net: >>422
SELinux さえ外せば安全というものでもないだろう。
424 ：login:Penguin：2013/11/08(金) 16:10:57.79 ID:+g4McZmJ.net: >>423
一般論としてはそうだが、ここはSELinuxのスレだし。

もし暗黙裡に「SELinux以外にも不安要素はいくらでもある
（だからSELinuxの暗黒面は考慮しなくてもいい）」と言いたいなら、それは詭弁。
「ファイアウォールをいくら設定してもライフハックされたらそれまで。
だからファイアウォールなんて不要」とは言えるか？

本当にセキュリティ対策がしたいならSELinuxの暗黒面“も”
きちんと論じるのが当然。
425 ：login:Penguin：2013/11/08(金) 16:18:09.07 ID:7ArdgaAc.net: だから具体的にコードのどこの部分に疑念があるかポインタで示してくれよ。

おまえらなんの具体性もないから検証すらできんだろ。
426 ：login:Penguin：2013/11/15(金) 05:57:38.36 ID:52DQq9Z5.net: ＞ポインタで示す
これがよく分からん。どのソースのどの行が、とか言わないか？　普通。

まあソースが公開されている以上、SELinuxが露骨にデータを抜いて
送信している可能性はさすがに低いだろうな。むしろあらゆるサーバアプリが
SELinuxにリンクしているっていう状況で、そのコアひとつ差し替えられたら
どれだけ危険か、とかの方が気になるんだが。

あとスマートフォンなどの端末にハード的なバックドアを組み込むにも、
あらゆるサーバアプリがあらかじめ特定のライブラリ
（それもユーザ特権に絡む強力なもの）にリンクしていれば簡単な気がする。

あと当然、そうしたサーバアプリの開発者達と、SELinuxの開発者(=NSA)が
メールでやり取りする中になっていたりしても不思議じゃない。
427 ：login:Penguin：2013/11/15(金) 21:28:45.97 ID:7iPAbb7D.net: それ言い出したらlibcとか差し替えられたらヤバいでしょ
428 ：login:Penguin：2013/11/15(金) 21:30:58.67 ID:LdW5QT0U.net: 話がぼやっとしてんだよな。
429 ：login:Penguin：2013/11/16(土) 08:37:49.59 ID:Xy7bRXnC.net: 論点ずらそうとしてるだけ

総レス数 429
97 KB

掲示板に戻る全部前100 次100 最新50

read.cgi ver.24052200