5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

SE (security enhanced) Linux

1 :login:Penguin:04/06/12 05:18 ID:s7bBlWwQ
SE Linux についてのスレです。
利点、問題点、導入に当たっての注意など。

http://www.selinux.jp/
http://www.selinux.gr.jp/
http://www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652

2 :login:Penguin:04/06/12 05:24 ID:dVSdHyPT
(;´Д`)????

3 :login:Penguin:04/06/12 05:28 ID:kuCpOOFG
3ゲトズザ

4 :login:Penguin:04/06/12 05:30 ID:dVSdHyPT
('A`)イミワカンネ
要するにパッチだろ?

5 :login:Penguin:04/06/12 08:05 ID:DVwbBeRx
audit®

6 :login:Penguin:04/06/12 08:26 ID:KdegLaEA
とりあえずは乙と生暖かく


7 :login:Penguin:04/06/12 08:55 ID:43k2CMkZ
>>1
アマゾンには何氏に逝ったんだ?
ttp://www.amazon.co.jp/exec/obidos/ASIN/4822221113/


8 :login:Penguin:04/06/12 09:23 ID:OIQCzfwG
>>4
は?

9 :login:Penguin:04/06/16 01:09 ID:2l++u2H+
ユーザ会のOFFまだ〜

10 :login:Penguin:04/06/16 02:02 ID:WATNKbkD
ルート晒してる鯖のハックに誰か成功した香具師はいないの?

11 :login:Penguin:04/06/16 02:21 ID:ktaupipD
成功した時点でニュースになるから安心しろ

12 :login:Penguin:04/06/27 04:57 ID:Mu8ZK00U
寂れてるな
このままじゃ廃れるぞ(w


13 :login:Penguin:04/06/27 14:17 ID:uRhKvMPw
日本で、しかも2chでどうなろうと全く影響ナシ。

14 :login:Penguin:04/07/23 08:11 ID:5GhB5HF3
てst

15 :login:Penguin:04/07/23 18:54 ID:HcRYODgK
http://www.nsa.gov/selinux/code/download0.cfm
↑SELinux
kernel-2.4.22でも2.6-based SELinuxインストールしちゃって
大丈夫なんでしょうか。

16 :login:Penguin:04/07/30 19:48 ID:9E7CH+IX
なぜにSEスレ盛り上がらないのだ

17 :login:Penguin:04/07/30 20:24 ID:Kfi83cOG
>16
多数のユーザー、管理者を抱えるサーバーの運用をしてる人が2chには少ないんだろう。

18 :login:Penguin:04/07/31 01:44 ID:7vS4wCE5
導入はしてみたいんだけど、億劫でなぁ

19 :login:Penguin:04/08/17 07:49 ID:BZyf7JAd
SELinuxは他のPC-UNIXに対するかなりの利点となるはずなのにもったいない。

20 :login:Penguin:04/08/17 15:55 ID:8obRHxyC
伸びねぇなあ

21 :login:Penguin:04/08/17 18:13 ID:UeldjsDo
普通、盛り上げたい人が自演で書き込んだりするもんなんだけどねえ。
SELinuxに通じた人は、そういう2chのテクニックがないのかな。

22 :login:Penguin:04/08/17 18:18 ID:jPdB50uI
SEXについて教えてエロイ人と言ってみるw

23 :login:Penguin:04/08/17 19:37 ID:ROSIbulh
新Debianがセキュリティ強化されるようだが
http://japan.linux.com/desktop/04/08/11/0136232.shtml


それが"フロッピーやCDは自動マウントされない"
程度なのもアホらしいので、DebianユーザにseLinuxを!(ドキュメントの整備を!)

24 :login:Penguin:04/08/18 00:28 ID:BNTBJkHg
SELinux徹底ガイド
ttp://coin.nikkeibp.co.jp/coin/lin/SELinux/index.html
って良書ですか?

25 :login:Penguin:04/08/21 00:46 ID:S3rNV93e
Trusted Solaris とか SE Linux みたいな「セキュアOS」はまず運用ポリシー
ありきなのでドキュメント云々の前に個人レベルとか中小規模では初期導入や
運用のコストにメリットがつり合わない。専門スタッフを自前で用意できる
大規模な組織で無いかぎり普通はコンサルに頼んで導入するもんだと思うよ。

ワークステーションレベルでのセキュリティは >>23 あたりの話で
十分だし、これ以上のことやられてもうっとうしいだけ。

26 :login:Penguin:04/08/23 09:23 ID:A0A5mOCf
AGEますね

27 :login:Penguin:04/09/01 00:00 ID:+68aKaPB
SELinuxを使うとSEが儲かりそうだなー

設定がマンドクサげだし。

28 :login:Penguin:04/09/01 00:38 ID:AYBgVT+Y
http://www.ussg.iu.edu/hypermail/linux/kernel/0408.2/1431.html

だそうです

29 :login:Penguin:04/09/01 19:08 ID:+68aKaPB
>>28
訳して。

30 :login:Penguin:04/09/01 20:40 ID:+ssOxYD1
SE Linuxって略するとSExだね。

31 :login:Penguin:04/09/02 23:07 ID:O3zW+HSa
競糞

32 :login:Penguin:04/09/29 10:25:07 ID:MInZSJ7n
使ってる奴はおらんかー

33 :login:Penguin:04/10/05 18:41:16 ID:7MqmP1jb
全てはこの検索することをまるで考えていないスレタイが悪い。
Linux板はセンスの欠片も感じられないスレばかり。

34 :login:Penguin:04/10/08 18:41:27 ID:4cEZ7X/u
もまいら一般人にはノーマルカーネルで十分

35 :login:Penguin:04/10/08 18:43:17 ID:biin1wBR
SヨLinux

36 :login:Penguin:04/10/12 22:36:04 ID:X1HIaQwU
ながながF通でSEやってるけどTrusted Solaris使ってるの見たことない。
なんかとんでもなくマンドクセらしいんじゃ。雨でもさっぱり
売れてないそうなんじゃ。
ましてやLinuxでそんなたいそうなもんなんか誰が使うんだ?

37 :login:Penguin:04/10/14 02:36:15 ID:TArUvgso
SELinuxもポリシーが穴なら、仏作って魂入れず。

38 :login:Penguin:04/10/14 06:25:26 ID:hxG9Eraz
Fedora Core 3からデフォルトでSELinux有効になるから、
そうなるとそれなりに利用者も増えると思うよ。
気づいてて使ってるかどうかは知らないけどね。

39 :login:Penguin:04/10/14 19:25:47 ID:D7VS4Ybx
そーなると、くだ質にぎやかな悪寒

40 :login:Penguin:04/10/21 15:05:49 ID:apkmihgO
予想通り、人居ないですね。
某所で分析されてたんですが、この分析結果は、大体いい線行ってるんでしょうかね?。
少々古いですが...
http://www.ipa.go.jp/security/fy13/report/secure_os/1_Summary.pdf

SELinux B1 相当
TrustedBSD B1 相当
OpenBSD C1 相当
PitBull Foundation B1 相当 (ITSEC E3 認定)
PitBull LX C2 相当
hp virtualvault B3 相当
hp secure OS software for Linux C2 相当
Openwall C1 相当
Trusted Solaris B1 相当 (EAL4 に認定)
LOMAC C2 相当
LIDS C2 相当
Medusa DS9 B1 相当
RSBAC B1 相当

41 :login:Penguin:04/11/06 22:23:59 ID:hiCn14Q6
http://www.selinux.gr.jp/topic.html#20041104
--- SELinux BOF 「SELinuxナイト」開催要領--
主催:日本SELinuxユーザ会準備委員会 日経Linux
日時:11月30日(火)
場所:青山スパイラルホール
地図: http://ac.nikkeibp.co.jp/linux/security2004/images/map.gif
時間:18:00〜20:00
参加費:無料

プログラム(仮)
● 18:00-18:05
- 主催者から一言
> 日本SELinuxユーザ会準備委員会
> 日経Linux
● 18:05-19:05セッション1
- SELinuxの最新動向(仮) 日本SELinuxユーザ会準備委員会 中村雄一(代理:日立ソフト 才所秀明)
- SELinuxカーネルハッキング(仮) NEC 海外浩平
- 商用セキュアOSとSELinux(仮) 日本高信頼システム 田口裕也
● 19:10-19:46 セッション2
- なぜSELinuxの設定はむずかしいのか(仮) 日本SELinuxユーザ会準備委員会 女部田武史
- 現場からみたSELinux(仮) 日本オープンソース推進機構 小島浩之
● 19:46-20:00 フリーディスカッション

42 :login:Penguin:04/11/06 23:17:32 ID:F+Nri/5I
>>41
講演担当者のジエンキター

43 :login:Penguin:04/11/07 22:35:58 ID:C19rajt1
唐揚よりはまし

44 :login:Penguin:04/11/08 01:10:49 ID:7w+L++m6
試しにgentooで使ってみてるけど、設定面倒だね。
まだ、enforceなんて出来ない。

gentoo特有(多分)の罠として、
udev使ってると、/devがramfsなのではまる。

45 :login:Penguin:04/11/12 01:53:21 ID:8mQ+1kTu
これ有効にしたら重くなる?

46 :login:Penguin:04/11/12 21:55:55 ID:DfpPyEmN
>>45
あまり気にならないけど。

FC3でちゃんとSELinuxの機能使う人はどれぐらいいるんだろう。

47 :login:Penguin:04/11/16 05:01:48 ID:JE4z9irv
>>46
インストールのとき速攻でオフにしちゃった
メジャーなディストリで標準搭載されたのはFedoraが初めてなので
急速にノウハウが蓄積されていくかもしれんし、RedHatあたりがGtk+使って
GUI設定ツールを書いてくれる可能性もある。
「よく分からない場合は切っとけ」で済まされる場合のほうが多そうだが...


48 :login:Penguin:04/11/16 05:18:42 ID:JE4z9irv
Windowsでいうところのパーソナルファイアウォール相当のこと
(netfilter/iptablesでやるパケットフィルタだけじゃなくて、アプリレベルでの
細かい通信制御)をSELinuxでできんかなと妄想してる。
もちろん機能には十分すぎるんだが、それを簡単に設定するための
フロントエンドをどう作るかが問題。

49 :login:Penguin:04/11/16 23:04:54 ID:r5Lrk2wd
>>48
人気でそうだ。つーか俺も欲しい。

50 :login:Penguin:04/11/17 00:25:22 ID:DGIX6dqn
>>48
デーモンの動いてるドメインとnode/portを対応させれば可能。
但し、ポリシーコンパイラがしょぼいので、書くのは大変…。

おまけにnode/port関連の性能ボトルネックがひどいんだよなぁ…。

51 :login:Penguin:04/11/19 16:40:48 ID:zSRgmM4L
初めて触ってみたが、結構概念が難しい。
SELinux を使いこなせるようになる道のりは遠い感じ。
で、こんなに難しいと普通のSEじゃ手が出ないので
余り普及しない(または使われない)悪寒。

52 :login:Penguin:04/11/20 03:01:29 ID:z6ctB+VG
デフォルト有効なのかよ!
これから勉強がたいへんだ

53 :login:Penguin:04/11/20 06:57:05 ID:CbAZaw0K
概念自体はそれほど難しくないんじゃない?
設定がたまらなく面倒だけど。

FC3ってデフォルトenforceモードなの?

54 :login:Penguin:04/11/20 17:50:17 ID:7hmqMeo8
これ、テスト用のマシンを用意して勉強しないといけないほど難しい?

55 :login:Penguin:04/11/20 17:55:40 ID:/C8/c61k
FC3についてのちょっとした紹介
ttp://www.itmedia.co.jp/enterprise/articles/0411/15/news046.html

56 :login:Penguin:04/11/20 22:46:41 ID:SVVab55G
>>54
デフォルト有効と言ってもTargetポリシーだし、
自分が挙動に詳しいアプリケーションから設定を追加していけば
いいんではないでしょうか?

本当はポリシーコンパイラの記述能力が低いのが悪いと思うんだけどね。

57 :login:Penguin:04/11/21 00:23:00 ID:EedBRFSc
最低限必要なサービスだけにしておかないと、定義が死ぬほど面倒くさい。

FC3がどんなかわからないけど、普通のサーバなら、
危険性があるやつだけ設定するって言うのは良いかもね。

58 :login:Penguin:04/11/24 21:51:12 ID:GD/xCPVc
>>51
SEがつかえないSE Linux
語呂合わせにもならねぇ(w

59 :login:Penguin:04/11/24 23:52:21 ID:2XCOPo7B
これ使えないと負け組みですか?NSAに勝ちたいです。

60 :login:Penguin:04/11/25 00:22:32 ID:sSYcT8WT
>>59
使うと自動的にNSAに通報します。

61 :login:Penguin:04/11/25 20:18:12 ID:lUPgfwFJ
Debian sidにselinux-policy-defaultをインストールしようとしています。
しかし以下のようなエラーメッセージが出ます。何かヒントのようなものでもありますか?
ちなみにカーネルはselinux=1でブートし、その他の必要なパッケージは
coker.com.auから落として全てインストールしてあります。

# dpkg -D=3333 --configure selinux-policy-default
Setting up selinux-policy-default (1.16-1) ...
/usr/bin/checkpolicy: loading policy configuration from policy.conf
domains/program/cups.te:220:ERROR 'unknown type rpm_var_lib_t' at token ';' on line 100328:
allow cupsd_config_t rpm_var_lib_t:file { getattr read };
#line 220
/usr/bin/checkpolicy: error(s) encountered while parsing configuration
make: *** [/etc/selinux/policy/policy.18] Error 1
run-parts: /etc/dpkg/postinst.d/selinux exited with return code 2
"/bin/run-parts --arg=selinux-policy-default /etc/dpkg/postinst.d" failed: 256
dpkg: error processing selinux-policy-default (--configure):
1Error running trigger postinst: No such file or directory
Errors were encountered while processing:

62 :login:Penguin:04/11/25 20:40:38 ID:lUPgfwFJ
えっと、Debianなのにrpmなのが不味いのかと思って、
#grep -n rpm /etc/selinux/src/domains/program/cups.te
174:ifdef(`rpm.te', `
175:allow cupsd_config_t rpm_var_lib_t:dir { getattr search };
176:allow cupsd_config_t rpm_var_lib_t:file { getattr read };
213:allow cupsd_config_t rpm_var_lib_t:file { getattr read };

この213行目をコメントアウトしたら上手くいったようです。
# make -s -C /etc/selinux/src install
/usr/bin/checkpolicy: loading policy configuration from policy.conf
security: 4 users, 6 roles, 1431 types, 27 bools
security: 53 classes, 207684 rules
/usr/bin/checkpolicy: policy configuration loaded
/usr/bin/checkpolicy: writing binary representation (version 18) to /etc/selinux/policy/policy.18
Building file_contexts ...
Validating file_contexts ...

63 :login:Penguin:04/11/25 20:48:57 ID:lUPgfwFJ
と思ったらエラーが出てた。

/usr/sbin/load_policy: Warning! Error while getting boolean names: Success
/usr/sbin/load_policy: security_load_policy failed
make: *** [tmp/load] Error 3

にも関わらずselinux-policy-default自体のセットアップは終わったっぽい。
よく分からんね。

64 :login:Penguin:04/11/25 20:51:03 ID:MPLFWDrj
対応してる鳥使えばいいのに。

65 :login:Penguin:04/11/25 22:12:04 ID:hS75tvZu
興味あるのでがんばって下さい

66 :login:Penguin:04/11/30 21:48:54 ID:DNV7bnzT
>>41

情報 Thanx!
ナイトの会、行ってきたよ。
現状はまだまだ発展途上って感じだね。

ひとつ印象に残ったのは、ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり、商用ソフトだと
最悪、訴えられる可能性もあるらしいとの事。事実、過去そうゆう事例を憂慮した意見が内部であったらしい。
現状では、どこが最終的な責任をとるのだろうか? JOSAO?

会場ではバイキング形式の軽食があった。案内に書いてないのはタダ飯食う香具師が来るのを避ける為
だろうか? 一言書いて欲しかったよ。

行く前に大盛りスパゲッティー食った俺は ヽ(`Д´)ノ




67 :login:Penguin:04/11/30 22:54:20 ID:Rci6pBJ3
>ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
>無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり

strace使うことがなんでリバースエンジニアリングなの?

68 :login:Penguin:04/11/30 23:06:05 ID:rGSC9TyP
straceかけなくても、ろぐにでるしね。

69 :login:Penguin:04/12/01 01:18:09 ID:kwnvX1mj
strace  リバースエンジニアリング でググれ。


70 :login:Penguin:04/12/01 22:57:27 ID:buBI+dND
>>66
ま、「食事」が目的じゃなかったしw
でもまぁ、あの時間帯設定だったら、みんなおなかすくだろうなとは思ってたけど。
ほぼ初心者でお話を聞かせて頂いていたのですが、ポリシー作るのってかなり難しいのね。
Hello World! であんなに手間掛かるとはw
使用しているライブラリの挙動すべてを把握しなければならないのは辛いね。
SELinuxの必要性はある(というか必須)、
でもそれを使うのは困難と。。。まだまだこれから、なのかなぁ。

71 :login:Penguin:04/12/01 23:00:52 ID:buBI+dND
ちなみに、Windows をセキュアOSにする製品もあるような話があった気がするけど、
ライセンス料以外で考えた場合でも、
WindowsベースのセキュアOS と SELinux だったら、SELinux の方に軍配?

72 :login:Penguin:04/12/02 03:00:25 ID:aSrOsSrn
>>71
オープンソースだからね。
究極的にWindowsは、M$の言う事を信じなければならない。
事象があくまでプログラムのバグだからな…。


73 :login:Penguin:04/12/03 00:48:59 ID:+ogIR13D
>>72
オープンソースだから安全ってわけでもないよね。
逆にソースが分かっているんだから攻撃箇所も分かるわけだし。
しかも、脆弱性とか見つかった時の修正までの時間ってWinの方が早いらしいし。
アタックやハッキングがLinuxの方がWinよりも少ないわけでもないから、
手放しで SELinux の方がいいのかどうか疑問。
WinでもLinuxでもハッキングされた時の被害がセキュアOSにより最小限になるのであれば、
SELinuxの優位性は価格だけなのだろうか???

74 :login:Penguin:04/12/03 01:09:51 ID:B+NBrjFL
モジラ組みもIISなんか使ってるからあんなことに・・・

75 :login:Penguin:04/12/05 03:25:16 ID:9/C1GsDJ
書き込み少ないね。セキュアOSスレとかだったらもっと集まるのかな?

76 :login:Penguin:04/12/05 12:56:34 ID:ftQG/iV+
>>75
普通のサーバに使うのは面倒くさすぎるからね。
他のってLIDSとかに限らず、Trusted Solarisとか?

77 :login:Penguin:04/12/05 15:19:45 ID:Xmb8f5R0
使ってるアプリケーションの動作を大体のところ分っているのなら、
そんなに難しくも面倒でもないのでは?

78 :login:Penguin:04/12/06 17:54:39 ID:JtISNBh9
セキュアOSカンファレンス乙

79 :login:Penguin:04/12/21 01:00:45 ID:d+cqoNK8
allow gikonavi_t 2ch_file_t:file r_file_perms;

80 :login:Penguin:04/12/21 23:39:51 ID:VGSNXL53
>>79
実行できないじゃん。

81 :login:Penguin:04/12/31 08:56:30 ID:1dLBL8OZ
SE Linuxを有効にしてるとapacheにてWebDAVを利用する際にある小細工をしないと動かないのがつらい。
デフォでONだし、調べてみたら結構いい感じだからね〜

他に、不具合が出るものがあったら教えてくれ。
ちなみに、うんこvsftpdは問題ない。

82 :login:Penguin:04/12/31 10:44:55 ID:UohtONFB
>>81
vsftpdは平気なんですか。
認証とか平気ですか?shadowとかアクセスさせたくないんだけど。

83 :login:Penguin:05/01/14 03:40:02 ID:4A7mLCNI
普段リモートから管理するには、適当なユーザを作って
そのユーザにsysadm_rになれるようにして、
sysadm_rにしてからrootになれば良い?

84 :login:Penguin:05/01/15 03:20:11 ID:eumkuR6c
>>83
適当なユーザでログインして、suでrootになって、newroleでsysadm_rになるのが正解
レガシーUNIXの特権ユーザだとか一般ユーザという考え方は、SELinuxの世界には存在
しないものと心得られよ。

85 :login:Penguin:05/01/19 12:52:53 ID:r7Yfu5sx
selinux.jp死にっぱなし?

86 :login:Penguin:05/01/19 15:36:25 ID:o3yuXtEs
>>85
復活しても俺が速攻で落としてるからな。

87 :login:Penguin:05/01/19 22:53:28 ID:j8qcBS41
>>84
suがsetuidされてるから怒られるのね。
だからsysadm_rにしてからsuしてた。

rootじゃないと、普通のチェック(SELinuxの前)ではじかれるから、
rootになるのは必須なんだよね。

suを許可するのが筋なのかな。

88 :SELinux:05/01/26 19:39:41 ID:sf6NWb9/
SELinuxでshadowのファイルの権限を有効にしようとして、make reloadコマンド
を打つと、エラーが出てしまいます。
どうしてですか?

89 :login:Penguin:05/01/26 20:25:41 ID:SzWDCttT
FreeBSDからFedora Core3に乗り換えたけど
SELinux周りで死ぬほど苦しんでます。

詳しいページがあったら紹介してください。

90 :login:Penguin:05/01/26 23:00:06 ID:ZRGojEQb
>>89
sudo echo 0 > /selinux/enforce

91 :login:Penguin:05/01/27 01:48:36 ID:Nw7Qmux/
assert.teだね

92 :SELinux:05/01/27 13:03:42 ID:f6pf3IHI
>>90
一般ユーザで行うんですか?

93 :89:05/01/27 16:01:12 ID:zhnD52o8
>>90
まぁ、それも一つの解ではあるのだけど(笑)

Perlで書かれたスクリプトを実行したら
実行されているようなんだけど(ファイル出力処理で、出力している)
print してる部分がコンソールに表示されない
./test.cgi > hoge
だと、hogeファイルにprintしてる部分が出てる
SELinuxを無効にしたら、コンソールに表示される

-rwxr-xr-x oresama oresama system_u:object_r:httpd_user_content_t test.cgi

うーむ・・・

94 :login:Penguin:05/01/28 09:17:29 ID:B7+DaWB6
>>93
httpd_user_script_exec_t

95 :login:Penguin:05/01/28 09:28:55 ID:I4hBi6uy
日立ソフトがIPAから委託されて開発した
SELinux/AID使ってる人います?

Turboは認定トレーニングはじめるみたいだけどTurboLinux10の
製品解説みると売りにしてるから多分これが前提の講習だよね。
http://www.turbolinux.co.jp/news/2005/jan/tl0118.html

96 :login:Penguin:05/02/01 03:23:15 ID:R7wOcKfY
>>66

> 行く前に大盛りスパゲッティー食った俺は ヽ(`Д´)ノ

いつでもハングリーでいきましょう

97 :login:Penguin:05/02/01 03:24:56 ID:R7wOcKfY
2.4.28/29にbackportしてSELinuxを運用している方おりますか?


98 :login:Penguin:05/02/02 01:40:56 ID:l83/Vdo8
SELinux運用してる例が少なそう

99 :login:Penguin:05/02/02 03:29:08 ID:S9tP/kMN
>1
間抜けなタイトルをつけたもんだな、間抜け。
このスレは、「selinux」で検索してもタイトルがひっかからない。
こんな間抜けなタイトルをつける底抜けにでも
FC3のはそれなりに使えてるみたいだ。

100 :login:Penguin:05/02/02 09:34:24 ID:xwsG9abH
>>99
Linux板のアホウはスレタイ一つまともに付けられないんです。
今に始まったことではありません。

101 :login:Penguin:05/02/02 22:51:19 ID:PrTo3fxY
これって、IPSとどう違うの?

102 :login:Penguin:05/02/02 23:14:00 ID:A0UaOl6X
>>1読めば分かるだろ?

103 :login:Penguin:05/02/05 02:27:23 ID:+zvHTRUn
流行りそうな予感


104 :login:Penguin:05/02/05 05:45:06 ID:xJZHVJAK
流行るかね。
まともに設定出来れば、一技能として認められるかな。

105 :login:Penguin:05/02/05 10:38:50 ID:+zvHTRUn
パッケージ選択数の多いディストリビューションは大変そう。


106 :login:Penguin:05/02/09 02:51:55 ID:XF0/Pgz5
検索しにくい。

107 :login:Penguin:05/02/09 23:22:38 ID:JqljQMs1
TURBOもだすんだっけ?

108 :login:Penguin:05/02/11 00:49:53 ID:Eo16XC6i
ターボはSELinuxができるのか
けっこう構築してノウハウたまったから採用したのかな


109 :login:Penguin:05/02/20 23:03:24 ID:+IFTBw6N
ターボは親会社が大変だな。
ちーそ

110 :login:Penguin:05/02/21 22:04:22 ID:ArwecXmM
このスレッド、書き込みが少なくてさみしいね。
SELinuxを使っている人はまだまだ限られているのかな?
デスクトップ用としてLinuxを使っている僕には無縁なものなのでしょうか?

111 :login:Penguin:05/02/21 22:11:12 ID:0hX35ns2
SELinuxを芹菜と呼ぼう

112 :login:Penguin:05/02/23 05:33:48 ID:CBKPp7c2
というか、こんなめんどくさいもの、流行らそうとしていること自体が悪

J●SA●のSELinux委員会の本人達がそう思っているんだから間違いない。
本家のNSA絡みの人たちもそう思っているんだから間違いない。

けど標準だ。やらなきゃ...orz

113 :login:Penguin:05/02/25 00:19:30 ID:f2uiMCq0
SELinux委員会なるものがあるのか!

114 :login:Penguin:05/02/25 00:38:03 ID:8B+HEoS8
Fedora coreを使っている人は結構簡単に使えちゃうような気が
するんだけど、実際どう?
じぶんFC2なんだけど、とりあえず有効にしてみた。
これから設定ツールをインストールして手探りでいろいろ試してみるつもり。

115 :login:Penguin:05/02/25 08:28:52 ID:hpEzNVNo
>>113
とりあえずこっちでもいいんじゃないか
http://www.37linux.jp/
会長ブログもあるぞ

116 :login:Penguin:05/03/01 00:10:42 ID:2S1ezsEn
>>115
これもターボがからんでいるとは


117 :login:Penguin:05/03/01 08:25:58 ID:nT2TU4zb
会長がおともだちのPCにリナックスを入れてくれるらしいぞ。
ハァハァ

118 :login:Penguin:05/03/02 05:03:55 ID:+4E0glIi
会長!ベットの中でSELinuxについて教えてください!

119 :login:Penguin:05/03/10 17:17:53 ID:yxaV5U7b
fcファイルを編集のち以下のようにコマンドを実行したのですが反映されて
いないらしく、httpd.confのログファイルの出力先を変更した場合にhttpdを
起動する事が出来ません。file_contextsには反映されているようです。
更に何かする必要があるのだと思うのですがどうしたら良いのでしょうか?。

fcファイルに追加
/abc/public_html(/.*)? system_u:object_r:httpd_sys_content_t

make reload
load_policy policy.18


120 :login:Penguin:05/03/11 00:53:58 ID:RaDjPhri
setfiles

121 :login:Penguin:05/03/11 03:55:33 ID:NJcMHUX0
>>119
変更範囲がわかってるなら、setfilesが速いけど、
make relabel っていうのが出来るはず。
あと、ログになんか出るんじゃない?

122 :119:05/03/11 10:22:41 ID:4gTW0GFK
>>120,121
messagesに出力されているログですがこれの事でしょうか。
Mar 11 09:39:11 hoge kernel: audit(1110501551.417:0): avc: denied { search } for pid=3664 exe=/usr/sbin/httpd
name=server dev=hda2ino=7733249 scontext=root:system_r:httpd_t tcontext=system_u:object_r:file_t tclass=dir

make relabelでは全てのポリシーを書き換えているので時間がかかるという考え方で良いのでしょうか。
setfilesでは変更したポリシーだけを書き換える事が出来るの早いのですね。setfiles単独の使い方が良くわかって
いないので後々、勉強して行きたいと考えております。

make reload
make relabel
/usr/sbin/load_policy /etc/selinux/targeted/policy/policy.18

コマンドの順番を変えてみたりしているのですがそれでもhttpd.confのパスを変更するとhttpdを起動出来なくなり、
上記と同等なログがメッセージに出力されます。
また、/etc/selinux/targeted/contexts/files/file_contextsには変更箇所が出力されています。

何が原因なのでしょうか?

123 :login:Penguin:05/03/11 15:24:06 ID:k3CAiL8Z
>>122
これも追加してみて
/abc system_u:object_r:httpd_sys_content_t

124 :122:05/03/11 16:18:17 ID:4gTW0GFK
>>123
/abc system_u:object_r:httpd_sys_content_tを追加する事で起動に成功しました。
他のファイルで通常の/から始まるディレクトリへのアクセスが許可されていて、
/からの新規ディレクトリを作成した場合には新たにルールを追加しなければ
ならないという事なのですね。

ありがとうございました。

125 :122:05/03/11 17:12:41 ID:4gTW0GFK
/abc
/htmlsystem_u:object_r:httpd_sys_content_t
/logsystem_u:object_r:httpd_log_t

という複数のサブディレクトリを用意した場合にはどうするべきなのでしょうか。

/abcsystem_u:object_r:httpd_sys_content_t
/abcsystem_u:object_r:httpd_log_t

では、make reload時にエラーとなります。

teファイルを覗いて見て、httpd_tを設定したら良さそうなので設定してみたら
make reloadは通ったのですがこういう設定に問題はないのでしょうか?


126 :login:Penguin:05/03/11 17:14:29 ID:k3CAiL8Z
>>124
ちなみに、/abc を system_u:object_r:httpd_sys_content_t にできない場合は
fcじゃなくてteファイルに、こんなのを追加してみるのもいいかも
--
allow httpd_t home_root_t:dir search;
--
home_root_t は"ls -dZ /abc"などで確認して適宜書き換えてください。
間違っても root_t とかにはしないほうがいいと思うけどね。

127 :login:Penguin:05/03/11 17:18:32 ID:k3CAiL8Z
>>125
/abc の後ろにスペース入れてる?

128 :122:05/03/11 17:50:44 ID:4gTW0GFK
>> k3CAiL8Zさん
httpd_tはダメでした。relabelで弾かれてしまいました。
teファイルを変更しない場合には、read writeが許可されている
httpd_sys_content_tを使用するのが良いみたいでした。

teファイルの方は未だ変更の仕方が良くわかりませんが、
allow httpd_abcd home_root_t:dir search;
とする事で httpd_abcd をディレクトリに割り振り出来るという
事なのではないかと見ています。書き込んだ後に変更を加えて
確かめてみたいと想います。

/abcの後に空白はあります。同じディレクトリに複数の設定を
行うのは無理のようでした。

129 :login:Penguin:05/03/11 18:13:28 ID:k3CAiL8Z
>>128
勘違いしてるみたいだけど、やりたいことはfcに3行入れれば多分できるでしょう。
*.fc
--
/abc system_u:object_r:httpd_sys_content_t
/abc/html(/.*)? system_u:object_r:httpd_sys_content_t
/abc/log system_u:object_r:httpd_log_t
--

>>126
/abc をApache以外にも使うならteいじる必要あるかもしれないけど
という意味なので無視しといてください。

130 :128:05/03/11 18:54:14 ID:4gTW0GFK
>>129
あ、大丈夫です^^。fcの方には129と同じようにしてあります。

teの方はhttpd_tにはroot権限?とディレクトリの検索を許可します。
という意味に見えます。実際にはhome_root_tにも設定があり、
継承しているという事になるのでしょうか。根本的な所まで
追いかけないと見えてこないものが沢山ありそうです。



131 :login:Penguin:05/03/11 19:35:00 ID:k3CAiL8Z
>>130
Apacheでしか使わないならteいじんなくていいよ。
それ以外でも使うなら、"ls -aZ /abc"の結果でも教えて。

132 :login:Penguin:05/03/13 04:29:00 ID:Smjmhscy
SELinuxに詳しい人多いんだね。
オレも勉強しなくては



133 :login:Penguin:05/03/18 22:12:04 ID:cnaFhVSF
SELinuxで使用出来ない文字、または誤動作の要因となる文字などはあるのでしょうか?。
httpdにおいて同一ディレクトリ同一所有権パーミッションでありながら表示できる画像と
表示できない画像が存在します。SELinuxを無効にすると正しく表示されるのでSELinux
が関係しているのは間違いないと想われます。

表示できないケースでは以下のようになります。
You don't have permission to access path on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.


134 :login:Penguin:05/03/18 22:19:21 ID:MrN6Qq1S
>>133
表示できるファイルと、そうでないファイルの"ls -Z"の結果は?
アクセスできなかったときに"/var/log/messages"になんて出る?
最低限これくらい書いてくれないと答えようもない

135 :133:05/03/18 22:28:49 ID:cnaFhVSF
>>134
申し訳ありません;。
$ ls -Z ではディレクトリ内の全てのファイルが httpd_sys_content_t となっております。
アクセス出来なかったファイルの内、1つのファイルをha_b_012.jpg > ha.jpgに変更する
事でアクセスが可能となりました。そこで他のファイルでも_と数字を除きアクセスして
みましたが、こちらの方はアクセス出来ませんでした。

$ cat /var/log/messages
kernel: audit(1111151779.769:0): avc: denied { getattr } for pid=10813 exe=/usr/sbin/httpd
path=path dev=hda2 ino=7422115 scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file


136 :133:05/03/18 23:03:37 ID:cnaFhVSF
RHELのクローンですから当然、RHELにも同様の問題があると想われます。
つまり、SELinuxって予想以上に使われてないのですね。
SELinuxが返って穴にならなければ良いのですが;。

137 :login:Penguin:05/03/18 23:12:36 ID:SQmxFIAD
穴が開いてるのはおまえの脳味噌だろ。
運用出来るだけの知恵が無いんだからSELinuxはdisableにして正解だったな。

138 :133:05/03/18 23:53:35 ID:cnaFhVSF
>>137
好き勝手言って貰っても構いませんが何処が問題なのか指摘してください
.fcはphp(/.*)としてあり、問題となっているディレクトリはphp/abc/def/にあります

期待上げ!

139 :133:05/03/18 23:59:59 ID:cnaFhVSF
>>137
2行しか書けないFedraユーザーみたいだね
無理言ってすまない

140 :login:Penguin:05/03/19 00:33:57 ID:AdJo+AG7
アンチFedoraは例外無く池沼ばかりだなw

141 :133:05/03/19 00:53:30 ID:4vL6hAaV
>>140
うちにFedraもあるよ
ディストリを差別する気はありませんが特定の個人なら差別しても許せるかもね^^

142 :login:Penguin:05/03/19 01:28:02 ID:ilrOwGMs
言われたものだけじゃなくて可能性ありそうな設定全部書いてみれば?

143 :login:Penguin:05/03/19 06:41:31 ID:JM3a88Pg
audit2allow

144 :133:05/03/19 09:26:07 ID:4vL6hAaV
いろいろと試行錯誤し考えてみた結果、原因となる幾つかの要因が見えました。
httpdポリシーにおける設定変更自体には全く問題ありませんでしたが結果と
してアクセス出来るファイルとそうでないファイルが存在したのは間違い
ありません。対処方法もいくつか考えられますが実際にどれくらいのファイルが
影響を受けるのか現状のまま確かめて見たいと考えております。

ただ、総合的にSELinuxの役割として予想外の動作をしていたのは間違いありません。

145 :login:Penguin:05/03/19 12:40:19 ID:QodH++gB
>>135
単純に
tcontext=user_u:object_r:user_home_t tclass=file
だからじゃないの?

146 :login:Penguin:05/03/19 23:26:26 ID:YRe93jvD
home_tを読ませるように設定するか、
ファイルをきちんとラベル付けしなけりゃ問題があるのは
当たり前やろ。
DACで言うところの600root:rootのファイルが通常ユーザーでは
読めませんとかいう質問のようなもんだろ。

147 :133:05/03/20 09:46:54 ID:1Ea4E4Vw
以下のように同じディレクトリにあるファイルで差が出るのはおかしくはないのですか?。
home_tだからというなら理由なら、ほぼ同じ条件にある他のファイルが読めるというのは
納得が行きません。www以下にあるファイルは全てhttpd_sys_content_tが適応されている
はずであり、読めないのであれば全て読めないのが本来あるべき動作のはずです。
home_tだから読めないという事であるならば、Zで表示されている内容と実際の内容が
異なるという事だと想われますが如何でしょうか?。

www(/.*)?

ls -aZ
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha_b_012.jpg
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha.jpg

ls
ha_b_012.jpg ← 読めない
ha.jpg ← 読める



148 :login:Penguin:05/03/20 11:34:48 ID:TBDKXLZq
だからおかしいのはオマエの脳。脳に障害があるのにサーバ構築なんかムリだって。

149 :login:Penguin:05/03/20 13:42:54 ID:1Ea4E4Vw
>>148
初期設定Fedra君、自分のスレにお帰りなされ^^。

150 :login:Penguin:05/03/20 13:58:48 ID:TBDKXLZq
脳に障害がある奴は常にアンチFedoraであるという法則w

151 :login:Penguin:05/03/20 14:11:10 ID:TBDKXLZq
>>149
いいかい、君はアスペルガー症候群だ。
既に何度かそう診断された事があるだろ?
障害を持つ身で努力しようとする態度は立派だけどはっきり言って迷惑だから帰ってくれ。
警察とか消防隊員とか、障害者には出来ない仕事があるんだよ。技術者もその1つ。
社会に貢献したければ君に出来る仕事は他にいくらでもあるはずだ。
自分の身の丈に見合う事をやりなさい。

152 :login:Penguin:05/03/20 16:18:35 ID:1Ea4E4Vw
>>151
>FC4T1のgijで動いてるTomcat、abでちょっとベンチ取ろうとしただけで落ちる。
FC4の実験、お疲れさま^^
それから「アンチFedora」というフレーズを少しは変えようよ
せっかくIDが変わっているのだし、もう少し効果的な発言をしようね
次の面白い発言に期待していますよん

期待あげ!

153 :login:Penguin:05/03/20 20:53:34 ID:ki45pfhI
home_tのアトリビュートが取れないっていっているんだから、
/var/log/messagesの見てるところが違うんじゃないの。
まずパーミッシブにしてすべて動かしてみて、
引っかかる権限に対するルールを全て書き加えていけばいいじゃん。
(tail -fしながら問題のある所をpermissiveでどういう
ログがでるか観察。)
SELinuxそのもののバグならバグの報告する。

154 :133:05/03/20 21:21:46 ID:1Ea4E4Vw
>>153
お返事ありがとうございます。
アクセスしているパスが異なる、また勘違いなどは第一に疑いましたが、full_pathの部分は
確かに表示されないファイルのフルパスになっております。また、messagesファイルを
監視しても同様の結果としかなりませんでした。
ただアクセスさせる為なら闇雲にルールの追加を行えば良いのですが、それではSELinuxの
稼働意味が損なわれてしまいます。
また何度か検証した結果、この事例が発生する行程が判明致しましたが何分、TBDKXLZqさん
がおっしゃるように私は脳を病んでいる事もあり、またPC歴も20年と浅いので妄想として
心に閉まっておく事に致します。

ご協力してくださった皆様、ご迷惑をおかけしました。

kernel: audit(1111188853.244:0): avc: denied { getattr } for pid=2555 exe=/usr/sbin/httpd path=full_path dev=hda2
ino=7422115 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file


155 :login:Penguin:05/03/20 21:39:44 ID:ki45pfhI
SELinuxユーザー会のメーリングリストに投げてみたら?
ログにあった権限を追加していくのは、本当にログの
情報があってるかどうか確認する為で、その穴だらけの
状態で運用しろという意味じゃない。

156 :login:Penguin:05/03/20 21:42:32 ID:ki45pfhI
基本的には
検証>確認>システム、もしくはポリシーの編集>検証に戻る
てな感じにやっていくしかないんじゃないの?
ドキュメントも少ないし、成熟もしていないわけだから、全て最初から
完成させる事ができるとは思わない方が良いのかなと
個人的には思います。

157 :login:Penguin:05/03/21 01:19:41 ID:Pg6EgOd7
なに、バグなの?

158 :login:Penguin:05/03/21 01:22:18 ID:ONFyNY6p
>>1
矢口真里写真集「OFF」

159 :login:Penguin:2005/03/21(月) 13:03:52 ID:RRoZFv1H
>>157
脳のバグ。

160 :login:Penguin:2005/03/21(月) 13:51:20 ID:jBLCHfdu
矢口ってちっちゃいけどかわいいよね。
モー娘。の中では一番、しっかりしていて頭が良いと思うよ。
ちゃんと勉強すればSELinuxぐらいマスターするんじゃないかな。


161 :login:Penguin:2005/03/21(月) 21:45:36 ID:RORt2abZ
1つハッキリしたのはMLを読んでいる奴が1人も居ないと事実だけだな

162 :login:Penguin:2005/03/21(月) 22:41:00 ID:RRoZFv1H
fedora-selinuxなら読んでるがw

163 :login:Penguin:2005/03/30(水) 23:31:08 ID:5Uz6Ix3e
クライアントには使えるの?

164 :login:Penguin:皇紀2665/04/01(金) 07:25:06 ID:r2NxX0YQ
Zend Optimizer(PHPのコード最適化エクステンション)が組み込まれないので悩んじまった。
httpdのエラーログには読み込みのパーミッションエラーで出てたのに、
インストールの設定に間違いない事しか確認してなかった。

勉強不足。徹底ガイド買ってきて勉強しよ

165 :login:Penguin:2005/04/02(土) 15:38:39 ID:IIOd+esG
安定ディス鳥でカーネル2.6採用してる所ってまだ少ないんですね

166 :login:Penguin:2005/04/02(土) 20:21:03 ID:iY/0s9iF
ポリシーのバージョンが19になる、カーネルはどれですか?
2.6.11でも18なんだけど、まだカーネルツリーには入ってないのかな。

167 :login:Penguin:2005/04/04(月) 22:17:28 ID:SuTxAeX/
セキュアOSとアクセス制御の勉強がしたいのですが、
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
「SELinuxシステム管理―セキュアOSの基礎と運用」
という本が2冊あるのですが、どちらのほうが詳しく書いてあるのですか?
どなたかご存知の方いらっしゃいますか?

168 :login:Penguin:2005/04/05(火) 00:08:05 ID:eXjYXAjT
>>167
徹底管理は日本で昔からセキュアOSに取り組んで来た人が書いた本なのでこちらを薦める。
もう一方は翻訳本。こちらのほうが新しく、内容も詳しくてリファレンス的。
でも最初に読む本としてはちょっと難しいかもしれない。

169 :login:Penguin:2005/04/05(火) 00:08:46 ID:eXjYXAjT
「徹底管理」じゃなくて「徹底ガイド」ね。

170 :login:Penguin:2005/04/05(火) 00:32:58 ID:6qYQ729W
いまどきFedoraCore1ベースの内容は古すぎないか?


171 :login:Penguin:2005/04/05(火) 09:10:42 ID:ujfSY/uD
>>168,169
詳細サンクスですm(__)m
早速注文して、勉強しようかと思います。

>>170
fedora 1ベースでも、SE Linux自体の設定は変わらないと思いますのでそこら辺は問題ないかと。
出版された時期が時期だから仕方ないでは?

172 :login:Penguin:2005/04/07(木) 00:43:36 ID:/slzzvEj
2冊しかないんだし、両方買っちゃえばいいじゃん

173 :167:2005/04/10(日) 11:33:25 ID:rXUX0agL
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
を購入しまして、ただ今勉強中なのです。

part1のセキュアOSの概要の中で、実際にwu-ftpdでの侵入をやっています。
自分のマシンにwu-ftpdを入れてローカルにて侵入してみたいのですが、ソースコードが見当たりません(侵入プログラムだからそう簡単に配布できないのは分かっています)
そこで、本の中でプログラムにつけられてた名前(ftpexploit)で検索をかけたら、それっぽいソースコードが引っかかりました。
http://www.hackemate.com.ar/ezines/raza_mexicana/raza011/c0digo/unix-ftpexploit.c

だけど、これ(コメント文が)英語ではないっぽいので使い方が分かりません。
どなたかご存知の方がいらっしゃったら教えてほしいのですが。
決して悪いことには使いませんので、宜しく御願いしますm(__)m。

174 :login:Penguin:2005/04/10(日) 12:13:16 ID:P0rRpkGQ
>>173
引数が1つしかなくて、あんなに短いソースなのに?

175 :login:Penguin:2005/04/10(日) 12:19:17 ID:JCyLqN7t
邪な心があるから読めないんだよw

176 :167、173:2005/04/10(日) 12:50:56 ID:rXUX0agL
>>174
言われてみれば、そこまで長いソースでないので頑張って読んでみます。
だけど、知らない関数が…

ちなみに、ソースコードの.arからアラビア語だと思って、翻訳かけたらすごいことに…
コメント文に何が書いてあるかちと知りたい。

177 :login:Penguin:2005/04/10(日) 13:18:31 ID:P0rRpkGQ
>>176
そのまま自動翻訳掛けてる時点でMake
Exploit C0D3D by [Hellraiser]を自分で訳してみな。

178 :login:Penguin:2005/04/10(日) 13:31:10 ID:2od0vbE4
アラビアって名前の国はないんでどうかひとつ

アラブ首長国連邦なら .ae
サウジアラビアなら .sa

世界のドメイン情報
http://www.benri.com/domain/

179 :login:Penguin:2005/04/10(日) 14:53:54 ID:rXUX0agL
>>177
>Exploit C0D3D by [Hellraiser]を自分で訳してみな。
自分で訳したら、「Hellraiser(ヘルレイザー)によってC0D3Dを開発する」
って感じになるのですが....。

>>178
間違ってたみたいですね。
arだからアラビア圏のどっかだと思ってました。
.arは、アルゼンチンですね(言語はスペイン語)
ありがとうございますm(__)m




180 :login:Penguin:2005/04/10(日) 15:25:30 ID:XO5Kjlei
C0D3D ってのは coded って読むのだよ。

181 :167、173、179:2005/04/10(日) 15:38:35 ID:rXUX0agL
>>180
そうだったのですか。ありがとうございます。

ということは、「Hellraiser(ヘルレイザー)によって功績は暗号化された」ってことになります。
>そのまま自動翻訳掛けてる時点でMake
の意味が分かりました@@

182 :login:Penguin:2005/04/18(月) 18:09:48 ID:GyZFJyyz
googleで調べりゃくさるほどコード出てくるけどな
もっとよく探してから聞けよ

なんか話がそれてるな


183 :login:Penguin:2005/05/02(月) 00:02:16 ID:nQQXjlrv
Oracleのポリシーできた?
ってか、日本オラクルは作ってくれないの?



184 :login:Penguin:2005/05/12(木) 22:47:07 ID:JM0i3cbl

ttp://www.nsa.gov/selinux/

HTTP/1.1 200 OK
Connection: close
Date: Thu, 12 May 2005 13:37:45 GMT
Server: Microsoft-IIS/6.0

どこまでほんと?

185 :login:Penguin:2005/05/28(土) 19:24:31 ID:SZbGwWIV
ハァ?

186 :login:Penguin:2005/05/30(月) 00:13:44 ID:KWwFz+yC
>>184
ヘッダ情報だけだからいくらでも偽装できる

187 :login:Penguin:2005/05/30(月) 08:40:40 ID:iZPaZpQK
>>184
Windows Serverっていうのは本当っぽいよ。
OSとWeb Serverを表示させるHPでやってみたら、

OS:Windows Server 2003
Web Server:Microsoft-IIS/6.0

って出てきたから。

188 :login:Penguin:2005/05/30(月) 08:57:51 ID:i64dRy21
流石NSAだ
俺らはWindowsだろうと堅固に出来るぜということか

189 :login:Penguin:2005/06/21(火) 23:35:20 ID:k46Hhdg9
age

190 :login:Penguin:2005/07/14(木) 05:17:41 ID:TFsXQ32L
 

191 :login:Penguin:2005/07/22(金) 03:52:12 ID:WIaeG04T
NSAによる壮大な釣り・・・・だと思う

192 :login:Penguin:2005/07/22(金) 09:58:25 ID:ymZGW3HP
Windowsの方がLinuxより堅牢にするのは簡単そうだ
Windows: 穴がすぐ出来るがすぐ塞がる
Linux: 穴がなかなか出来ないがなかなか埋まらない
だからな

193 :login:Penguin:2005/07/23(土) 01:23:00 ID:OG8etS/6
>>192
もうすでに発表から何ヶ月も過ぎている穴がいくつもポコポコあいてますが・・・
MSは穴を塞ぐ気がないようですが・・・
簡単ですか・・・そうですか・・・

194 :login:Penguin:2005/08/03(水) 12:52:41 ID:oR/NUpKB
>>192
お前はアホか?
Windows : 穴がすぐ見つかる上にMSにその気がなければ、平然と何ヶ月も放置。全てはMSの気分次第。
Linux : Windows同様、穴が見つかる事も多々あるが、オープンソースコミュニティにより、誰かがその穴を塞ぎすぐにパッチがでる。

195 :login:Penguin:2005/08/03(水) 13:11:10 ID:kkYvCA+6
>>194
>誰かがその穴を塞ぎ
ここが弱い。近年どんどん弱まってる。保証も無い。

MSの場合、気分次第とは言ってられないから必ず穴は塞がれる。

196 :login:Penguin:2005/08/03(水) 20:24:58 ID:E0to4R2W
http://headlines.yahoo.co.jp/hl?a=20050802-00000004-cnet-sci

だとよw


197 :login:Penguin:2005/08/04(木) 17:05:15 ID:YSDGc6SO
>>195
MS狂信者が何故ここに?
http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=Windows+%E6%9C%AA%E4%BF%AE%E6%AD%A3+%E8%84%86%E5%BC%B1%E6%80%A7&num=50

198 :login:Penguin:2005/08/14(日) 21:14:51 ID:q9taHhbq
make clean

199 :login:Penguin:2005/08/17(水) 14:17:36 ID:jxiwnKnn
-bash: make clean: command not found

200 :login:Penguin:2005/08/20(土) 08:12:24 ID:t4rnP1is
コマンドまたはファイル名が違います


201 :login:Penguin:2005/09/07(水) 01:47:37 ID:elRriIGS
newrole -r 2ch_r

202 :login:Penguin:2005/09/07(水) 14:08:57 ID:0G7ZHT98
RHEL4 で初めて SELinux であたふたしたんですが
FC4 使ってる人達はあたふたしないもんなんでしょうか。
このスレは非常に平穏に過ぎてるなあ。

203 :login:Penguin:2005/09/07(水) 15:28:50 ID:t3rUMEED
>>202
速攻でSEは殺すから大丈夫ですよ

204 :login:Penguin:2005/09/07(水) 16:58:45 ID:KYtN4k3E
SELinux Policy Editor 使うと楽なの?

205 :login:Penguin:2005/09/07(水) 17:10:20 ID:CRe7RktX
いいえ

206 :login:Penguin:2005/09/07(水) 18:41:35 ID:0G7ZHT98
(使えない)SEは(誰かが)頃すから
(使えるSEだけになるので)
大丈夫ですよ。

207 :login:Penguin:2005/09/08(木) 00:26:59 ID:nZgiZuQI
fedora core 1にSE Linuxを組み込んでいろいろしてたのを考えると、
fedora core 3、4のほうがめちゃ楽。

208 :login:Penguin:2005/09/08(木) 10:52:58 ID:kfF39xdr
RHEL4 で、SELinuxを簡単に設定する方法ないですかね?


209 :login:Penguin:2005/09/08(木) 18:48:36 ID:y+gQmP+M
SE Linux の設定と言うけれど

1. setenforce 0 で殺した
2. コンテキストを与えまくった
3. bool を変えまくった
4. 俺専用ポリシーを作成した

どの辺りまで実践してるんだろう。

210 :login:Penguin:2005/09/08(木) 19:55:10 ID:u+Mb3QrM
>>209
4 が簡単な方法。。。があれば。orz...
LIDS  の方が簡単そうで良いけどね。

211 :名無しさん@そうだ選挙に行こう:2005/09/11(日) 20:38:39 ID:yYfCHbsY
セキュリティはいつの時代も難しいね。
SELinuxもそのうち慣れそうと思ったけど

212 :login:Penguin:2005/09/12(月) 15:05:48 ID:fUDuQO6Y
>>209

0.Fedoraインスコ時、チェックボックスをクリック(デフォ?) orz

213 :login:Penguin:2005/09/12(月) 15:52:33 ID:i50Yk/Pv
>>211
でも、全然なれない。複雑すぎ。orz

>>212
その画面で警告にするんだよね?

214 :login:Penguin:2005/09/13(火) 09:25:39 ID:VSGAA3Pf
複雑って言うか面倒だよなあ。。

xinetd から立ち上げるサービスが有ったとして
個々のサービスについて複雑にアクセス制御できるんだろうか?
とりあえずオライリーのSELinux本買ってきたけど
読み終わるまでしばらくかかりそうな薬缶。

215 :login:Penguin:2005/09/13(火) 11:06:05 ID:yr4ZJwvi
>>214
その手のは出来るよ。

厳格に運用するマシンじゃないとただ面倒なだけだね。

216 :login:Penguin:2005/09/13(火) 17:36:43 ID:/MCEH955
domain_auto_trans(inetd_t,***_exec_t,***_t)
で分けられそうじゃん

217 :login:Penguin:2005/09/27(火) 00:35:06 ID:W9xcpqf7
ターボってSELinux入っているのね。
セキュアOSもホリエモンか

218 :login:Penguin:2005/10/11(火) 23:20:11 ID:r8plUfZk
勉強会あるみたいだよ

219 :login:Penguin:2005/11/25(金) 02:58:44 ID:kxWbPbG4
セキュアOS盛り上がらないね
なぜ?

220 :login:Penguin:2005/11/25(金) 06:00:43 ID:dkeSDxLD
http://www.atmarkit.co.jp/fsecurity/rensai/selinux01/selinux01.html

221 :login:Penguin:2005/12/15(木) 22:15:40 ID:Qqr6E85d
SELinuxシンポジウムに行く香具師はいないのか?

222 :login:Penguin:2005/12/25(日) 13:04:17 ID:ZucL9yrx
SELinuxも何かあるのか。。

米国家安全保障局(NSA)の国内盗聴問題で、米紙ニューヨーク・
タイムズ(電子版)は23日、盗聴などの情報収集は、複数の通信会社
の協力を得て通信網の根幹部分に直接アクセスして行われ、得られた
情報量はホワイトハウスが確認しているよりもはるかに大量である可能性
がある、と報じた。

同紙によると、NSAがアクセスしていたのは、米国の通信回線と国外
の通信回線をつなぐ「スイッチ」と呼ばれる交換機に当たる部分。当局者らは
「大規模データ採掘作戦」と呼び、電話や電子メールの発信地や送り先、
日時や通話時間などのパターンを分析。2001年の米中枢同時テロ以降は、
特にアフガニスタン絡みの通信に注意していたという。

主要通信会社の元技術担当責任者によると、複数の通信会社が通信
データを保存、テロリストの捜索を支援するため、連邦政府にデータを
提供。NSAで以前勤務していた専門家によると、当局はこの技術を利用
するため、通信会社に対し、米国を経由する国際通信量を増やすよう
働き掛けていたという。

http://www.sankei.co.jp/news/051224/kok067.htm

223 :login:Penguin:2005/12/25(日) 18:31:59 ID:aP6RzIW/
俺がソース読んだ限りでは変な記述は見当たらなかったが、
それほど自分のスキルに自信があるわけでもないので言い切れない(笑)

224 :login:Penguin:2006/02/15(水) 00:40:42 ID:CtdekGRh
ここでいいのかわからんけれど

/home/oreore/public_html に user_u:object_r:httpd_sys_content_t
にしているわけで

これだと、FTPやSambaからアクセスできないです
ちょっとした CGI を作ろうと思ってここまできましたが

どうすればいいでしょう?

225 :login:Penguin:2006/02/28(火) 02:11:12 ID:EuS24R+g
allow ftpd_t httpd_sys_content_t:file r_file_perms;
allow samba_t httpd_sys_content_t:file r_file_perms;

226 :login:Penguin:2006/03/14(火) 23:05:02 ID:AZmBKFnA
>>225
ありがとう
うまくいきました

227 :login:Penguin:2006/03/14(火) 23:39:58 ID:/Js5s5In
>>225
それだと、ファイル生成やサブディレクトリへのアクセスができない。
allow {ftpd_t samba_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t samba_t} httpd_sys_content_t:dir create_dir_perms;

の方がより適切

228 :login:Penguin:2006/03/20(月) 23:27:52 ID:VQ85yjvJ
最小権限をどこまで最小権限にするのかの見極めが難しいな

229 :login:Penguin:2006/03/22(水) 00:51:02 ID:UqoYLMbZ
確かに
アクセスできたことで、安心してしまっていた

>227
samba_t まわりでエラーが出ます
まぁ、FTP使えればいいんですけどね

230 :login:Penguin:2006/03/23(木) 11:30:16 ID:62GALYzX
allow {ftpd_t smbd_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t smbd_t} httpd_sys_content_t:dir create_dir_perms;

を apache.te に入れたらうまくいきました
ありがとうございます

231 :227:2006/03/26(日) 20:28:58 ID:27E7HmkK
>>230
すまん、samba_tじゃなかった。

あと、CGIを動かす場合には httpd_sys_script_exec_t 付けるのを忘れないようにねん。


232 :login:Penguin:2006/03/29(水) 03:00:12 ID:HQBRg2uP
たいして勉強もしないでSELinux難しいって言うやつ多いよ

233 :login:Penguin:2006/03/29(水) 08:03:39 ID:CvH+CUAc
難しいんじゃなくて面倒くさい。

234 :login:Penguin:2006/03/29(水) 08:03:40 ID:9P02Nfg2
面倒くさい→難しい
ってことなんじゃね?


235 :login:Penguin:2006/03/29(水) 08:05:07 ID:9P02Nfg2
1秒差かよw

236 :login:Penguin:2006/03/29(水) 11:44:57 ID:UP8y3H8S
>>232
勉強しなきゃいけないから、難しい
って理屈は通りませんか?

237 :login:Penguin:2006/03/29(水) 11:49:59 ID:QcX2cin5
難しいから勉強するんじゃね?

238 :login:Penguin:2006/03/29(水) 21:35:47 ID:HQBRg2uP
iptablesとかsnortもSELinuxを同じくらい面倒ではないか

239 :login:Penguin:2006/03/30(木) 01:35:10 ID:KGSVIhop
日本語で(ry

240 :login:Penguin:2006/03/30(木) 03:13:52 ID:UbuRNvya
めずらしくレスあるな。
SELinuxとTOMOYOLinuxできればどこでも転職できます
ぐらいの売り込みすればみんなOFFにしないんじゃん
実際まだ扱える人材は少ないけど、注目度は高いんだし

241 :login:Penguin:2006/03/30(木) 23:42:31 ID:vYvTHlZE
とりあえず今からVine用にポリシーを書いて安定動作させられるだけの人材なら転職が楽だと思う

242 :login:Penguin:2006/03/31(金) 03:54:04 ID:c2Q2PtAv
今はSELinuxを扱える人材を募集している会社がまだそんなになさそう。
そのうちLinuxを扱うエンジニアには必須項目になってくると思うけどね。

243 :login:Penguin:2006/03/31(金) 12:19:46 ID:E8eNEfyd
本気か?
こんなめんどくさいもん入れるやつは出てこないよ。

244 :login:Penguin:2006/03/31(金) 13:29:50 ID:cBe4lNwk
面倒だからこそメシの種になるんじゃないのか

245 :login:Penguin:2006/03/31(金) 15:37:39 ID:UiGwZxlZ
ここにもいるであろう”SELinuxを扱える人”って、MLSやらDTEやらRBACやらのセキュリティポリシーモデルもちゃんとお勉強したの??

246 :login:Penguin:2006/03/31(金) 19:33:26 ID:E8eNEfyd
>>244
客は理解できないから発注しない。

247 :login:Penguin:2006/03/31(金) 23:36:30 ID:AEimUosf
つうか、SELinuxのポリシーを業務で *本当に* 扱えるってことは、システムの要件全体や
全プロセスの挙動、業務フローまで全部理解してるはずじゃない?
それだけのスキルがあればSELinux抜きでもメシを食えると思う
Hello Worldレベルの設定で喜んでるなら別だけど

248 :login:Penguin:2006/03/32(土) 01:43:32 ID:JDoyVCsD
targetedならできそうじゃね?

249 :login:Penguin:2006/04/04(火) 23:03:35 ID:dbz5rSMH
FedoraCore5のSELinux触った?
新しくなっててよくわからなくなってるし

250 :login:Penguin:2006/04/04(火) 23:39:02 ID:Nxd02Sjx
FedoraCore5のMCSにはバグがあるから気をつけろ。

251 :login:Penguin:2006/04/05(水) 00:33:30 ID:RyEzmfa8
アメリカの軍事機関産なんてもんは
ウィルス流し込むのと変わらん

252 :login:Penguin:2006/04/05(水) 00:33:48 ID:18+Z0sd8
MCSにバグあるのか。そもそもMCSをよく理解してないけど。。

253 :250:2006/04/05(水) 00:36:27 ID:v5+HM8wU
プロセスのカテゴリ間遷移に何の制約もかかってないので、結局どんなカテゴリを設定したところで

% runcon -l SystemLow-SystemHigh /bin/bash
一発でアクセス可能になってしまうという…。


254 :login:Penguin:2006/04/05(水) 08:12:00 ID:kamtW6c3
>>251
そうだな。

255 :login:Penguin:2006/04/05(水) 12:34:02 ID:fw77qyCk
ネットの技術なんてアメリカの軍事から産まれたの多くないか?
日本だと防衛庁がつくれば日本人エンジニアも納得って感じか?

256 :login:Penguin:2006/04/06(木) 07:25:54 ID:oviNSQ1N
それなんて富士通?

257 :login:Penguin:2006/04/06(木) 11:28:37 ID:YEiCHFN4
それってWindowsUpdateはウイルス流し込むのと変わらない
と言っているのと同じ気がするけど

258 :login:Penguin:2006/04/07(金) 01:08:46 ID:6DBpvXFo
SystemLow-SystemHigh ってなんだ?
また新しい機能はいったん?

259 :250:2006/04/07(金) 15:32:43 ID:niRmaLXj
>>258
それがMCSクオリティ

デフォルトの設定で、全てのカテゴリを包含する(全てのカテゴリに権限を有する)カテゴリに対して付けられたエイリアス
要するに、カテゴリ0〜カテゴリ255まで全部ってことだな。

/etc/selinux/targeted/setrans.conf 見れ

#
# Multi-Category Security translation table for SELinux
#
# Uncomment the following to disable translation libary
# disable=1
#
# Objects can be categorized with 0-256 categories defined by the admin.
# Objects can be in more than one category at a time.
# Categories are stored in the system as c0-c255. Users can use this
# table to translate the categories into a more meaningful output.
# Examples:
# s0:c0=CompanyConfidential
# s0:c1=PatientRecord
# s0:c2=Unclassified
# s0:c3=TopSecret
# s0:c1,c3=CompanyConfidentialRedHat
s0=
s0-s0:c0.c255=SystemLow-SystemHigh
s0:c0.c255=SystemHigh


260 :login:Penguin:2006/04/08(土) 19:50:52 ID:iy4/n+cL
Fedora Core 5 にして、現在後悔中
どうやってポリシーいじればいいんだ・・・

261 :login:Penguin:2006/04/08(土) 21:02:53 ID:st9vL7l7
FC4→FC5は別物だな


262 :250:2006/04/10(月) 00:01:01 ID:C/cakVDw
http://seibun.nosv.org/?p=SELinux

SELinuxの71%は罠で出来ています
SELinuxの13%は情報で出来ています
SELinuxの8%は気の迷いで出来ています
SELinuxの8%は理論で出来ています

なんか笑えた。結構合ってるような気が…。

263 :login:Penguin:2006/04/10(月) 11:34:49 ID:yj7wkDKQ
>>262
ワロタ

やっぱりfedoraは危険だなぁw

264 :login:Penguin:2006/04/11(火) 20:16:14 ID:SajR50yj
>>262
exe版と結果が違うんだが。

265 :login:Penguin:2006/04/11(火) 21:32:30 ID:BhjOi48X
ってかMLSとか、MCSって必要なの?
いままでの仕組みで十分じゃね?

266 :sage:2006/04/11(火) 21:40:45 ID:GCPU4MAU
MCSはすっごく使いやすいで。

ポリシー全く編集せずに特権分割まがいのことができる。

267 :login:Penguin:2006/04/11(火) 21:52:15 ID:BhjOi48X
カテゴリーごとに分割するだけでいいってことかな。
勉強してみよう。

268 :login:Penguin:2006/04/16(日) 12:51:52 ID:3ADQtYrD
SELinuxを有効にして運用しているサイトってどれぐらいあるの?

269 :login:Penguin:2006/04/16(日) 21:38:44 ID:Nq8scThW
# ls -Z
が出来なくなりました

[root@xxxx ~]# ls -Z
Sorry, this option can only be used on a SELinux kernel.

こんなメッセージが出ます。
どこを直したら良いでしょうか?教えてください。

270 :269:2006/04/16(日) 21:52:19 ID:Nq8scThW
自己解決しました。
SELinux Policy Editor を導入したためでした。

お騒がせしてすいませんでした。

271 :login:Penguin:2006/04/18(火) 21:31:04 ID:H2PkL+Ho
ラッセルって誰ですか?

272 :sage:2006/04/18(火) 21:39:30 ID:6edQt34n
>>271
赤帽の人です

273 :login:Penguin:2006/04/18(火) 22:06:21 ID:H2PkL+Ho
なるほど。赤帽の人ですか。
日本で勉強会するために来日とかですか


274 :login:Penguin:2006/05/01(月) 03:48:11 ID:GQZu5Odn
ラッセルは何しにきたの?

275 :login:Penguin:2006/05/03(水) 16:22:37 ID:FbhDLGnH
ここの過去ログかなり参考になったのであげときます

許可されていない操作です で拒否られないようにっと><

276 :login:Penguin:2006/05/12(金) 01:33:15 ID:VCbRI40x
政府が日本版SELinuxを税金でつくるらしいね。ホントかよ
TOMOYOでいいような気もするけど

277 :login:Penguin:2006/05/12(金) 16:50:02 ID:okAGl8Ef
>>276
さすがにwinnyで情報流出のTVいっぱい流してたし、そういう流れでしょ

278 :login:Penguin:2006/05/13(土) 00:50:37 ID:LU0QM1Pb
ブッシュ大統領、NSAによる米国内の通話データ収集を擁護
ttp://japan.cnet.com/news/media/story/0,2000056023,20111027,00.htm

こういう印象がNSAにはあるから、SELinuxを政府では使いたくなくて、
日本版をつくるってこと?

279 :login:Penguin:2006/05/13(土) 14:21:03 ID:Wq9uQuZR
>>276
>>278の話もあるけど、
そんなことするなら、SELinuxの検証した方がいい気がする。

TOMOYOでもいいけど、RBACはこれからも予定はないんだろうか。

280 :login:Penguin:2006/05/13(土) 15:50:09 ID:LU0QM1Pb
OSSなのに何か仕込まれているのかなあ?
バレたときいいわけできないじゃん
まあおエライ人の考えることだしねえ

281 :login:Penguin:2006/05/16(火) 10:55:12 ID:pcXHQYws
>>278-280
文句言う前に、とりあえず喪前らソースでも読めよと。

282 :login:Penguin:2006/05/17(水) 22:36:52 ID:1oMw1vmW
政府の役人はNSAってだけで怖いんだな

283 :login:Penguin:2006/05/23(火) 22:05:47 ID:LUJq97y9
国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表

 開発を進める「次世代OS環境」は、WindowsやLinuxなどをゲストOSとして稼動
させることのできるVM(Virtual Machine)環境をイメージし、このVM環境に
セキュリティ機能を組み合わせた「セキュアVM」と呼ぶ環境の構築を目指す。

http://internet.watch.impress.co.jp/cda/news/2006/05/23/12063.html

これのこと?

284 :login:Penguin:2006/05/25(木) 02:18:55 ID:Vs8NYI9S
ゲストOSにSELinuxつかうの?


285 :login:Penguin:2006/05/26(金) 14:23:37 ID:3bfbfETV
http://enterprise.watch.impress.co.jp/cda/security/2006/05/26/7902.html

どこらへんが対応なんだかわからん。

286 :login:Penguin:2006/05/27(土) 01:54:56 ID:HE5H6UoF
ServerProtect用のポリシーがついてくるとかw

287 :login:Penguin:2006/06/01(木) 23:43:14 ID:oI4VC7+d
こんなもんに金かける前に
I18N を主導して欲しかったよ。

288 :login:Penguin:2006/06/02(金) 02:11:35 ID:uuFyJyYw
LinuxWorld行った?

289 :login:Penguin:2006/06/02(金) 22:42:11 ID:hcD+Nubh
LinuxConrefence行った?

290 :login:Penguin:2006/06/04(日) 20:52:17 ID:b5BKM+1t
LinuxWorld行けなかった。。。
SELinuxネタは多かったの?

291 :login:Penguin:2006/06/05(月) 23:15:37 ID:v5HTa0C4
>290
もう右を向いても左を向いてもSELinuxって感じだったよ。


292 :login:Penguin:2006/06/06(火) 15:30:58 ID:Y8NRdPWo
ホントかよ!
なのに導入事例はいっさい聞いたことがない。。。

293 :login:Penguin:2006/06/07(水) 04:55:55 ID:4ZlW1/UC
前や後ろを向いたら違うものが見えてそうだ。

294 :login:Penguin:2006/06/08(木) 20:55:09 ID:RikEnc/R
LIDSとAppArmorが見える

295 :login:Penguin:2006/06/13(火) 13:53:08 ID:bfyV1Zm2
SELinux        Sex
AppArmor       Armor

コンドーム!!

296 :login:Penguin:2006/06/13(火) 22:43:07 ID:HL9I0jGj
SEXは
「Security-Enhanced X」
のことだよね

297 :login:Penguin:2006/06/28(水) 21:06:46 ID:LVP+o8HQ
2006年度UNIX/Linuxセキュリティ実践講座開催のご案内
http://www2.tamacc.chuo-u.ac.jp/kikoh/sec_ikusei/2006unix/unix2006.html

298 :login:Penguin:2006/07/02(日) 21:27:58 ID:S6c6I++3
いまさらだが、なにこのスレタイ

"SELinux"で検索することぐらい普通考えられるだろ

299 :login:Penguin:2006/07/03(月) 00:55:52 ID:hS22+TsM
>>33

300 :login:Penguin:2006/07/08(土) 11:39:20 ID:eo7Tt5Hp
>>298

Security Enhanced Linuxはアメリカでは、略してセックスと呼ばれることが多いので、
セックスもスレタイに入れたほうがよい。

Sexurity Enhanced linuX = SEX



301 :login:Penguin:2006/07/08(土) 21:12:37 ID:dC5O/xFW
>>300
は?SE-XはSecurity Enhanced X (X Window System)のことだ。
SELinuxについて100万回勉強してから釣れ。

302 :login:Penguin:2006/07/09(日) 16:44:46 ID:rI2bNedh
なんか設定ツールができたらしいね

100万回勉強したら高待遇で転職できるかも

303 :login:Penguin:2006/07/11(火) 13:01:25 ID:1lcYrZ+i
あと99万と8600回くらいだなぁ・・・

304 :login:Penguin:2006/07/12(水) 08:09:47 ID:X5kF2WB6
なにをもって一回と数えるの?

305 :login:Penguin:2006/07/13(木) 01:02:36 ID:Qfpp8B6o
checkpolicyを実行してポリシーをビルドした回数でいいんじゃね?

306 :login:Penguin:2006/07/13(木) 05:30:16 ID:TZueCr6q
一日100回はビルドするから…1万日か。無理だw

307 :login:Penguin:2006/07/13(木) 20:57:38 ID:Qfpp8B6o
>>306
長生きしないとな。

308 :login:Penguin:2006/07/13(木) 21:33:21 ID://G/Y/i2
並列処理しよう

309 :login:Penguin:2006/07/14(金) 00:28:11 ID:jt/F/kIF
お仕事で鯖立てている人で、ポリシー設定を1からやらなきゃいけない場合どうやってる?

1.いきなりStrictにして1からゴリゴリポリシー定義
2.targetedで起動→もとから定義されているポリシーを基に必要なポリシーを定義。不必要なポリシーは捨てる
3.ポリシーエディタでGUIマンセーと言いながらポチポチ…
4.SELinuxマンドクセ(´A`)から使わない。クラッキング?されないよ。


さぁ、どれ?

310 :login:Penguin:2006/07/14(金) 08:42:38 ID:/litWvkG
>>309

鯖移行の時間的猶予がなかったから
そこまで手が回らんかった

311 :login:Penguin:2006/07/14(金) 09:34:59 ID:fzToeWsD
セキュリティコンテキストの粒度が粗すぎる。
手間のわりに得られるものが小さい。

312 :login:Penguin:2006/07/14(金) 11:22:31 ID:Au5mkboI
>>309
1かな。SELinuxとポリシのバージョンにもよるけど
基本的には一つ一つつぶしていく。
おかげでシステムに変更があるたびにひぃひぃ言ってるけどねー。

>>311
というと?network周りの粒度はだめすぎだけど、どの辺が粗いの?
security contextってラベルのことで、粒度じゃないんだが…。
標準のポリシで宣言されてるsecurity contextが粒度が粗いってこと?

313 :login:Penguin:2006/07/15(土) 03:54:37 ID:o7cn6VKH
結局strict使わないとガマンできなくなってきた
targetedじゃ不満なの

314 :ぴょん♂:2006/07/21(金) 18:21:36 ID:vpOGPyfK ?
WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく!

315 :login:Penguin:2006/07/26(水) 01:51:01 ID:E/yMm3qA
ttp://ja.wikipedia.org/wiki/SELinux
これだな

316 :login:Penguin:2006/07/28(金) 20:01:21 ID:naP4/z2F
>>314 さん、残念!

317 :login:Penguin:2006/07/29(土) 01:05:53 ID:ooO7KrP9
GFDL違反だったのね。はやく直してね

318 :ぴょん♂:2006/07/30(日) 18:46:31 ID:7OZFwZRa ?2BP(11)
orz 
ぴょん♂はめげないびょん! 
みんなの努力は無駄にしないびょん!

319 :login:Penguin:2006/08/08(火) 02:17:53 ID:kKxQ5ddh
/etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)

どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。

ちなみにOSはCentOS4.3です。

320 :login:Penguin:2006/08/09(水) 08:31:49 ID:sAXh/maJ
おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん(w


321 :login:Penguin:2006/08/09(水) 13:03:21 ID:EvfB/Ijo
よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ゚Д゚)oブンブン

322 :login:Penguin:2006/08/10(木) 11:49:00 ID:BuQH6vVh
>>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況?
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな?

てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目?

323 :login:Penguin:2006/08/10(木) 19:48:38 ID:P0AUZ9Cm
>>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする?と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。

sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。

対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。

/etc/init.d/postgresqlがいいサンプルです。いじょ



324 :319:2006/08/11(金) 20:54:13 ID:FuajfgM8
>>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。

ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。

325 :login:Penguin:2006/08/12(土) 01:52:44 ID:zNJFRxv2
そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ?

326 :login:Penguin:2006/08/12(土) 01:56:48 ID:lXyPDQFa
労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。

jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。

327 :login:Penguin:2006/08/12(土) 13:00:38 ID:qaCnxs+9
まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。

守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。

328 :login:Penguin:2006/08/13(日) 15:10:02 ID:MX6/xln0
ACLでもroot権限がある限り意味なくね?

329 :login:Penguin:2006/08/13(日) 15:24:08 ID:9z7pAa4b
rootのっとられたらそりゃ終わりさ。

330 :login:Penguin:2006/08/14(月) 01:06:55 ID:n3hb6PHF
管理者権限奪取を防ぐのがSELinuxじゃないの?
企業とか個人とかの問題ではないような

331 :login:Penguin:2006/08/14(月) 01:23:14 ID:6sxGzDLo
管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。

でも全Linuxerの何%がポリシー作るところからやってるのかな?

332 :322:2006/08/14(月) 13:06:55 ID:PGuDhi6G
>>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり?

>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば?という話になるし。
(POSIX ACL。Kernel2.6以降で利用可)

>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用)
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。

まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。

333 :login:Penguin:2006/08/14(月) 23:17:47 ID:6sxGzDLo
>332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)

>人間業じゃなくて神業の領域だけど。
だよねえ。。

334 :login:Penguin:2006/08/14(月) 23:45:50 ID:n3hb6PHF
TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー

335 :323:2006/08/15(火) 21:20:16 ID:2nHPUtyi
>>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
 # And start it up.
 if [ -z "$user" ]; then
  $nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
 else
  $nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
 fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。

336 :login:Penguin:2006/08/16(水) 15:29:47 ID:fEuPMp3H
これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能?

337 :login:Penguin:2006/08/18(金) 13:01:52 ID:TZakQUvB
SELinuxって実はけっこう使われているの?
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから

338 :login:Penguin:2006/08/18(金) 13:49:56 ID:GqAwobo6
Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。

339 :login:Penguin:2006/08/24(木) 01:15:31 ID:jMRHgiY/
unconfined_tってフルアクセス権じゃないってこと?

340 :login:Penguin:2006/09/19(火) 03:54:30 ID:SAA96Un5
思ったほど難しくないよね

341 :319:2006/10/07(土) 01:49:39 ID:0VQxcj1l
結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。

このスレも廃れてますね…

342 :login:Penguin:2006/11/24(金) 22:38:24 ID:wx5gf/fe
誰か、これわかる?
ttp://bbs.fedora.jp/read.php?FID=9&TID=4775

343 :login:Penguin:2006/11/26(日) 02:08:18 ID:fQeoc878
SELinux儲かってる?

344 :login:Penguin:2006/12/04(月) 23:54:45 ID:g4pIfnK5
>>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ

継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、5年後位には変更が
超困難なシステムになってそう。


345 :login:Penguin:2006/12/08(金) 02:26:01 ID:uYBNBzil
メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない?
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない?



346 :login:Penguin:2006/12/14(木) 01:16:38 ID:FEduJ84b
そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。

非常にうまいパズルみたいな設定を思いついても、未来の自分とか5年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。


347 :login:Penguin:2007/01/01(月) 14:03:54 ID:ZA4pg8/A
サーバのセットアップは10%が設定で90%がドキュメント書きです。

348 :login:Penguin:2007/01/01(月) 17:06:03 ID:cCEHaAby
しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・


349 :login:Penguin:2007/01/01(月) 21:18:49 ID:ZA4pg8/A
あるあ・・・・・



・・・ある

350 :login:Penguin:2007/02/03(土) 21:22:32 ID:genGKaeR
SEEdit使えるディス鳥だと滅茶苦茶楽なのね

351 :login:Penguin:2007/02/03(土) 23:18:08 ID:Mbd9W+hX
>>350
debianにも対応して欲すい。

352 :login:Penguin:2007/02/03(土) 23:58:53 ID:95H1oCnY
SLIDE
http://oss.tresys.com/projects/slide

353 :login:Penguin:2007/02/04(日) 01:24:01 ID:JEZbmpW6
>>352
うーむ。玄人向けのツールでつねw。

354 :login:Penguin:2007/02/04(日) 15:36:22 ID:5jUhfyFG
restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。

355 :login:Penguin:2007/02/04(日) 18:51:49 ID:weMH9ex9
>>354
どういうこと?

356 :login:Penguin:2007/02/14(水) 02:14:49 ID:7vXpsxj1
http://pc9.2ch.net/test/read.cgi/mac/1171230282/64-66 によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです

357 :login:Penguin:2007/02/14(水) 02:58:07 ID:m4IlMoGA
セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。

SEBSDだってSEDarwinだってあるのにねー。

まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。

358 :login:Penguin:2007/02/14(水) 08:58:01 ID:niX0xEiK
Debian sidでSELinuxを有効にしてみた。

ttp://wiki.debian.org/SELinux

を見てやってみた。とりあえずpassiveモードで動かすことにしよう。

動かした後は、

ttp://fedora.redhat.com/docs/selinux-faq-fc5/

に書かれていることの方が詳しいらしい。英語だけど。

359 :login:Penguin:2007/02/14(水) 16:28:27 ID:1y5ZKtbN
慣れれば簡単だよ。がんばれ!

360 :login:Penguin:2007/02/15(木) 03:14:44 ID:m3smwIxK
今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった

Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった

しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。

どうやったらSamba使ってのファイルの移動ができるようになりますか?
SELinuxをオフとかPassiveモードはなしでお願いします。

361 :login:Penguin:2007/02/15(木) 03:57:07 ID:m3smwIxK
げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったw
Linux触って1ヶ月も経たない俺じゃ無理だな

SELinux OFF。。。

362 :login:Penguin:2007/02/15(木) 08:57:40 ID:43dnQNxp
SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。

363 :login:Penguin:2007/02/16(金) 01:34:40 ID:wqIfZsXx
SELinuxでSamba使えるようにするおまじないってあるのか?
もれは挫折したよw

364 :login:Penguin:2007/02/20(火) 03:52:53 ID:Ca1ZTyX/
samba_enable_home_dirs

365 :login:Penguin:2007/02/21(水) 09:08:43 ID:LnST7+x3
こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。

こういうものは、GUIツールで
カテゴリ別に分類し、
説明(当然日本語)を横に併記するツールを
使わないと手におえない。

昔のアドベンチャーゲームみたいだよ。
しっているか? 昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。

「go west」「open door」見たいにね。
こんなの今やりたいと思う?

366 :login:Penguin:2007/02/22(木) 10:08:59 ID:Npz4O/wL
GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。

367 :login:Penguin:2007/02/22(木) 17:04:53 ID:sTb3TkGi
>>365
polish pillar

368 :login:Penguin:2007/02/23(金) 01:34:09 ID:qdcf1zF9
>>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った

81 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)