SELinux
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
* [[SELinux]]
Security-Enhanced LinuxでセキュアOSとしての機能を持った...
#contents
** 環境
とりあえず、FedoraCore3で試してましたが、今はCentOSでやっ...
** 語彙
TEとかラベルとかいろいろと言葉がでてきて、紛らわしいので...
またポリシータイプという言葉がでてきますが、targetedポリ...
cat /etc/sysconfig/selinux
このSELINUXTYPE=targetedがいまのポリシーになってます。せ...
ftp://fr2.rpmfind.net/linux/fedora/core/updates/3/i386/se...
をダウンロードして、インストールしておきます。ではついで...
ついでにtargetedのソースも入れておきます。
yum install selinux-policy-targeted-sources
** 設定
-動作モード
cat /selinux/enforce
で0であればpermissive,1であれば、enforcingである。この動...
permissive ログは出力するがアクセス拒否の設定をしていて...
enforcing 運用時のモード。設定どおりに動く
設定段階では、permissiveで設定していくので、
echo 0 > /selinux/enforce
としておく。
getcon
でロールとドメインを確認できる。
-セキュリティポリシー変更
getsebool -a
で確認して、
setsebool httpd_ssi_exec 0
としてやるとinactiveになります。1にするとactiveになります...
/etc/selinux/ポリシータイプ/booleans
に書き込みましょう。この時、ポリシータイプとはtargetedも...
また
sestatus -v
で状態を見ることができます。
-定義ファイル~
ドメイン定義ファイルが
/etc/selinux/strict/src/policy/domains/program
にファイル名.teで
/etc/selinux/strict/src/policy/file_contexts/program
にファイルコンテキスト定義ファイルがファイル名.fcでありま...
-ロールの割り当て
/etc/selinux/strict/src/policy/users
に追加して、 /etc/selinux/strict/src/policyで
make reload
** /etc/selinux/strict/src/policy
domains
user.te:user_t,staff_rに関する設定
admin.te:sysadm_tに関する設定
program:各アプリケーションの設定 allow
file_contexts
program:各アプリケーションの設定 domains/programと対
** ログ
/var/log/messages
を見てみましょう。ちなみに~
Jul 3 00:54:52 localhost kernel: audit(1190319691.598:0)...
こんな感じでpermissiveにしていると、山盛りでていますので...
では見ていきましょう。まずdeniedは拒否されてます。拒否さ...
** TIPS
*** audit2allow
allowポリシーを作成してくれます。/etc/selinux/strict/src/...
audit2allow -d -v >> domains/add_org.te
とするとadd_org.teが作成されます。エラーが出る場合はコメ...
*** セキュリティコンテキストの表示
各コマンドでセキュリティコンテキストを表示できます。
id ユーザ
ls ファイル -Z,--context セキュリティコンテキスト表示 -...
ps プロセス -Z,--context セキュリティコンテキスト表示
*** ラベルを振る
chcon
fixfiles /etc/selinux/strict/src/policy/file_contexts/fi...
引数checkで間違ったラベルを表示、restoreでまちがってい...
restorecon /etc/selinux/strict/src/policy/file_contexts/...
例:restorecon /etc/rc.local
setfiles
mysqlをインストールして、スクリプトを/etc/init.dにコピー...
.autorelabel
を空ファイルで作成しておきます。
*** デーモンの起動
run_init /etc/init.d/httpd start
*** 標準のロール
staff_r sysadm_rに遷移する許可のあるユーザが通常使用する...
sysadm_r システム管理者用
system_r プロセスが使用するロール
user_r 一般ユーザ用
*** ロールの変更
newrole -r sysadm_r
*** タイプ付与
chcon -R system_u:object_r:タイプ ファイルorディレクトリ
** リンク
http://fedoranews.yanbaru.dyndns.org/creativecommons/seli...
** 参考書籍
[[SELinux徹底ガイド>http://www.amazon.co.jp/exec/obidos/A...
[[SELinuxシステム管理>http://www.amazon.co.jp/exec/obidos...
この上記の2冊は良書です。
** コメント
--#comment
終了行:
* [[SELinux]]
Security-Enhanced LinuxでセキュアOSとしての機能を持った...
#contents
** 環境
とりあえず、FedoraCore3で試してましたが、今はCentOSでやっ...
** 語彙
TEとかラベルとかいろいろと言葉がでてきて、紛らわしいので...
またポリシータイプという言葉がでてきますが、targetedポリ...
cat /etc/sysconfig/selinux
このSELINUXTYPE=targetedがいまのポリシーになってます。せ...
ftp://fr2.rpmfind.net/linux/fedora/core/updates/3/i386/se...
をダウンロードして、インストールしておきます。ではついで...
ついでにtargetedのソースも入れておきます。
yum install selinux-policy-targeted-sources
** 設定
-動作モード
cat /selinux/enforce
で0であればpermissive,1であれば、enforcingである。この動...
permissive ログは出力するがアクセス拒否の設定をしていて...
enforcing 運用時のモード。設定どおりに動く
設定段階では、permissiveで設定していくので、
echo 0 > /selinux/enforce
としておく。
getcon
でロールとドメインを確認できる。
-セキュリティポリシー変更
getsebool -a
で確認して、
setsebool httpd_ssi_exec 0
としてやるとinactiveになります。1にするとactiveになります...
/etc/selinux/ポリシータイプ/booleans
に書き込みましょう。この時、ポリシータイプとはtargetedも...
また
sestatus -v
で状態を見ることができます。
-定義ファイル~
ドメイン定義ファイルが
/etc/selinux/strict/src/policy/domains/program
にファイル名.teで
/etc/selinux/strict/src/policy/file_contexts/program
にファイルコンテキスト定義ファイルがファイル名.fcでありま...
-ロールの割り当て
/etc/selinux/strict/src/policy/users
に追加して、 /etc/selinux/strict/src/policyで
make reload
** /etc/selinux/strict/src/policy
domains
user.te:user_t,staff_rに関する設定
admin.te:sysadm_tに関する設定
program:各アプリケーションの設定 allow
file_contexts
program:各アプリケーションの設定 domains/programと対
** ログ
/var/log/messages
を見てみましょう。ちなみに~
Jul 3 00:54:52 localhost kernel: audit(1190319691.598:0)...
こんな感じでpermissiveにしていると、山盛りでていますので...
では見ていきましょう。まずdeniedは拒否されてます。拒否さ...
** TIPS
*** audit2allow
allowポリシーを作成してくれます。/etc/selinux/strict/src/...
audit2allow -d -v >> domains/add_org.te
とするとadd_org.teが作成されます。エラーが出る場合はコメ...
*** セキュリティコンテキストの表示
各コマンドでセキュリティコンテキストを表示できます。
id ユーザ
ls ファイル -Z,--context セキュリティコンテキスト表示 -...
ps プロセス -Z,--context セキュリティコンテキスト表示
*** ラベルを振る
chcon
fixfiles /etc/selinux/strict/src/policy/file_contexts/fi...
引数checkで間違ったラベルを表示、restoreでまちがってい...
restorecon /etc/selinux/strict/src/policy/file_contexts/...
例:restorecon /etc/rc.local
setfiles
mysqlをインストールして、スクリプトを/etc/init.dにコピー...
.autorelabel
を空ファイルで作成しておきます。
*** デーモンの起動
run_init /etc/init.d/httpd start
*** 標準のロール
staff_r sysadm_rに遷移する許可のあるユーザが通常使用する...
sysadm_r システム管理者用
system_r プロセスが使用するロール
user_r 一般ユーザ用
*** ロールの変更
newrole -r sysadm_r
*** タイプ付与
chcon -R system_u:object_r:タイプ ファイルorディレクトリ
** リンク
http://fedoranews.yanbaru.dyndns.org/creativecommons/seli...
** 参考書籍
[[SELinux徹底ガイド>http://www.amazon.co.jp/exec/obidos/A...
[[SELinuxシステム管理>http://www.amazon.co.jp/exec/obidos...
この上記の2冊は良書です。
** コメント
--#comment
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
