SE (security enhanced) Linux

SE Linux についてのスレです。
利点、問題点、導入に当たっての注意など。

http://www.selinux.jp/
http://www.selinux.gr.jp/
http://www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652

(;´Д｀)????

3ｹﾞﾄｽﾞｻﾞ

('A`)ｲﾐﾜｶﾝﾈ
要するにﾊﾟｯﾁだろ？

audit®

とりあえずは乙と生暖かく

>>1
アマゾンには何氏に逝ったんだ?
ttp://www.amazon.co.jp/exec/obidos/ASIN/4822221113/

>>4
は？

ユーザ会のOFFまだ〜

ルート晒してる鯖のハックに誰か成功した香具師はいないの？

成功した時点でニュースになるから安心しろ

寂れてるな
このままじゃ廃れるぞ(w

日本で、しかも2chでどうなろうと全く影響ナシ。

てｓｔ

http://www.nsa.gov/selinux/code/download0.cfm
↑SELinux
kernel-2.4.22でも2.6-based SELinuxインストールしちゃって
大丈夫なんでしょうか。

なぜにSEスレ盛り上がらないのだ

>16
多数のユーザー、管理者を抱えるサーバーの運用をしてる人が2chには少ないんだろう。

導入はしてみたいんだけど、億劫でなぁ

SELinuxは他のPC-UNIXに対するかなりの利点となるはずなのにもったいない。

伸びねぇなあ

普通、盛り上げたい人が自演で書き込んだりするもんなんだけどねえ。
SELinuxに通じた人は、そういう2chのテクニックがないのかな。

SEXについて教えてｴﾛｲ人と言ってみるw

新Debianがセキュリティ強化されるようだが
http://japan.linux.com/desktop/04/08/11/0136232.shtml


それが"フロッピーやCDは自動マウントされない"
程度なのもアホらしいので、DebianユーザにseLinuxを！(ドキュメントの整備を！)

SELinux徹底ガイド
ttp://coin.nikkeibp.co.jp/coin/lin/SELinux/index.html
って良書ですか？

Trusted Solaris とか SE Linux みたいな「セキュアOS」はまず運用ポリシー
ありきなのでドキュメント云々の前に個人レベルとか中小規模では初期導入や
運用のコストにメリットがつり合わない。専門スタッフを自前で用意できる
大規模な組織で無いかぎり普通はコンサルに頼んで導入するもんだと思うよ。

ワークステーションレベルでのセキュリティは >>23 あたりの話で
十分だし、これ以上のことやられてもうっとうしいだけ。

AGEますね

SELinuxを使うとSEが儲かりそうだなー

設定がマンドクサげだし。

http://www.ussg.iu.edu/hypermail/linux/kernel/0408.2/1431.html

だそうです

>>28
訳して。

SE Linuxって略するとSExだね。

競糞

使ってる奴はおらんかー

全てはこの検索することをまるで考えていないスレタイが悪い。
Linux板はセンスの欠片も感じられないスレばかり。

もまいら一般人にはノーマルカーネルで十分

ＳヨＬｉｎｕｘ

ながながF通でSEやってるけどTrusted Solaris使ってるの見たことない。
なんかとんでもなくマンドクセらしいんじゃ。雨でもさっぱり
売れてないそうなんじゃ。
ましてやLinuxでそんなたいそうなもんなんか誰が使うんだ？

SELinuxもポリシーが穴なら、仏作って魂入れず。

Fedora Core 3からデフォルトでSELinux有効になるから、
そうなるとそれなりに利用者も増えると思うよ。
気づいてて使ってるかどうかは知らないけどね。

そーなると、くだ質にぎやかな悪寒

予想通り、人居ないですね。
某所で分析されてたんですが、この分析結果は、大体いい線行ってるんでしょうかね？。
少々古いですが．．．
http://www.ipa.go.jp/security/fy13/report/secure_os/1_Summary.pdf

SELinux B1 相当
TrustedBSD B1 相当
OpenBSD C1 相当
PitBull Foundation B1 相当 （ITSEC E3 認定)
PitBull LX C2 相当
hp virtualvault B3 相当
hp secure OS software for Linux C2 相当
Openwall C1 相当
Trusted Solaris B1 相当 （EAL4 に認定)
LOMAC C2 相当
LIDS C2 相当
Medusa DS9 B1 相当
RSBAC B1 相当

http://www.selinux.gr.jp/topic.html#20041104
--- SELinux BOF 「SELinuxナイト」開催要領--
主催：日本SELinuxユーザ会準備委員会　日経Linux
日時：11月30日（火）
場所：青山スパイラルホール
地図: http://ac.nikkeibp.co.jp/linux/security2004/images/map.gif
時間：18:00〜20:00
参加費：無料

プログラム(仮)
● 18:00-18:05
- 主催者から一言
> 日本SELinuxユーザ会準備委員会
> 日経Linux
● 18:05-19:05セッション１
- SELinuxの最新動向(仮) 日本SELinuxユーザ会準備委員会 中村雄一(代理：日立ソフト　才所秀明）
- SELinuxカーネルハッキング(仮) NEC　海外浩平
- 商用セキュアOSとSELinux(仮) 日本高信頼システム　田口裕也
● 19:10-19:46 セッション2
- なぜSELinuxの設定はむずかしいのか（仮） 日本SELinuxユーザ会準備委員会 女部田武史
- 現場からみたSELinux(仮) 日本オープンソース推進機構　小島浩之
● 19:46-20:00 フリーディスカッション

>>41
講演担当者のジエンキター

唐揚よりはまし

試しにgentooで使ってみてるけど、設定面倒だね。
まだ、enforceなんて出来ない。

gentoo特有(多分)の罠として、
udev使ってると、/devがramfsなのではまる。

これ有効にしたら重くなる？

>>45
あまり気にならないけど。

FC3でちゃんとSELinuxの機能使う人はどれぐらいいるんだろう。

>>46
インストールのとき速攻でオフにしちゃった
メジャーなディストリで標準搭載されたのはFedoraが初めてなので
急速にノウハウが蓄積されていくかもしれんし、RedHatあたりがGtk+使って
GUI設定ツールを書いてくれる可能性もある。
「よく分からない場合は切っとけ」で済まされる場合のほうが多そうだが...

Windowsでいうところのパーソナルファイアウォール相当のこと
(netfilter/iptablesでやるパケットフィルタだけじゃなくて、アプリレベルでの
細かい通信制御)をSELinuxでできんかなと妄想してる。
もちろん機能には十分すぎるんだが、それを簡単に設定するための
フロントエンドをどう作るかが問題。

>>48
人気でそうだ。つーか俺も欲しい。

>>48
デーモンの動いてるドメインとnode/portを対応させれば可能。
但し、ポリシーコンパイラがしょぼいので、書くのは大変…。

おまけにnode/port関連の性能ボトルネックがひどいんだよなぁ…。

初めて触ってみたが、結構概念が難しい。
SELinux を使いこなせるようになる道のりは遠い感じ。
で、こんなに難しいと普通のSEじゃ手が出ないので
余り普及しない(または使われない)悪寒。

デフォルト有効なのかよ！
これから勉強がたいへんだ

概念自体はそれほど難しくないんじゃない？
設定がたまらなく面倒だけど。

FC3ってデフォルトenforceモードなの？

これ、テスト用のマシンを用意して勉強しないといけないほど難しい？

FC3についてのちょっとした紹介
ttp://www.itmedia.co.jp/enterprise/articles/0411/15/news046.html

>>54
デフォルト有効と言ってもTargetポリシーだし、
自分が挙動に詳しいアプリケーションから設定を追加していけば
いいんではないでしょうか？

本当はポリシーコンパイラの記述能力が低いのが悪いと思うんだけどね。

最低限必要なサービスだけにしておかないと、定義が死ぬほど面倒くさい。

FC3がどんなかわからないけど、普通のサーバなら、
危険性があるやつだけ設定するって言うのは良いかもね。

>>51
SEがつかえないSE Linux
語呂合わせにもならねぇ(w

これ使えないと負け組みですか？NSAに勝ちたいです。

>>59
使うと自動的にNSAに通報します。

Debian sidにselinux-policy-defaultをインストールしようとしています。
しかし以下のようなエラーメッセージが出ます。何かヒントのようなものでもありますか？
ちなみにカーネルはselinux=1でブートし、その他の必要なパッケージは
coker.com.auから落として全てインストールしてあります。

# dpkg -D=3333 --configure selinux-policy-default
Setting up selinux-policy-default (1.16-1) ...
/usr/bin/checkpolicy: loading policy configuration from policy.conf
domains/program/cups.te:220:ERROR 'unknown type rpm_var_lib_t' at token ';' on line 100328:
allow cupsd_config_t rpm_var_lib_t:file { getattr read };
#line 220
/usr/bin/checkpolicy: error(s) encountered while parsing configuration
make: *** [/etc/selinux/policy/policy.18] Error 1
run-parts: /etc/dpkg/postinst.d/selinux exited with return code 2
"/bin/run-parts --arg=selinux-policy-default /etc/dpkg/postinst.d" failed: 256
dpkg: error processing selinux-policy-default (--configure):
1Error running trigger postinst: No such file or directory
Errors were encountered while processing:

えっと、Debianなのにrpmなのが不味いのかと思って、
#grep -n rpm /etc/selinux/src/domains/program/cups.te
174:ifdef(`rpm.te', `
175:allow cupsd_config_t rpm_var_lib_t:dir { getattr search };
176:allow cupsd_config_t rpm_var_lib_t:file { getattr read };
213:allow cupsd_config_t rpm_var_lib_t:file { getattr read };

この213行目をコメントアウトしたら上手くいったようです。
# make -s -C /etc/selinux/src install
/usr/bin/checkpolicy: loading policy configuration from policy.conf
security: 4 users, 6 roles, 1431 types, 27 bools
security: 53 classes, 207684 rules
/usr/bin/checkpolicy: policy configuration loaded
/usr/bin/checkpolicy: writing binary representation (version 18) to /etc/selinux/policy/policy.18
Building file_contexts ...
Validating file_contexts ...

と思ったらエラーが出てた。

/usr/sbin/load_policy: Warning! Error while getting boolean names: Success
/usr/sbin/load_policy: security_load_policy failed
make: *** [tmp/load] Error 3

にも関わらずselinux-policy-default自体のセットアップは終わったっぽい。
よく分からんね。

対応してる鳥使えばいいのに。

興味あるのでがんばって下さい

>>41

情報　Thanx!
ナイトの会、行ってきたよ。
現状はまだまだ発展途上って感じだね。

ひとつ印象に残ったのは、ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり、商用ソフトだと
最悪、訴えられる可能性もあるらしいとの事。事実、過去そうゆう事例を憂慮した意見が内部であったらしい。
現状では、どこが最終的な責任をとるのだろうか？　JOSAO？

会場ではバイキング形式の軽食があった。案内に書いてないのはタダ飯食う香具師が来るのを避ける為
だろうか？　一言書いて欲しかったよ。

行く前に大盛りスパゲッティー食った俺は ヽ(｀Д´)ノ

>ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
>無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり

strace使うことがなんでリバースエンジニアリングなの？

straceかけなくても、ろぐにでるしね。

strace 　リバースエンジニアリング　でググれ。

>>66
ま、「食事」が目的じゃなかったしw
でもまぁ、あの時間帯設定だったら、みんなおなかすくだろうなとは思ってたけど。
ほぼ初心者でお話を聞かせて頂いていたのですが、ポリシー作るのってかなり難しいのね。
Hello World! であんなに手間掛かるとはw
使用しているライブラリの挙動すべてを把握しなければならないのは辛いね。
SELinuxの必要性はある（というか必須）、
でもそれを使うのは困難と。。。まだまだこれから、なのかなぁ。

ちなみに、Windows をセキュアOSにする製品もあるような話があった気がするけど、
ライセンス料以外で考えた場合でも、
WindowsベースのセキュアOS と SELinux だったら、SELinux の方に軍配？

>>71
オープンソースだからね。
究極的にWindowsは、M$の言う事を信じなければならない。
事象があくまでプログラムのバグだからな…。

>>72
オープンソースだから安全ってわけでもないよね。
逆にソースが分かっているんだから攻撃箇所も分かるわけだし。
しかも、脆弱性とか見つかった時の修正までの時間ってWinの方が早いらしいし。
アタックやハッキングがLinuxの方がWinよりも少ないわけでもないから、
手放しで SELinux の方がいいのかどうか疑問。
WinでもLinuxでもハッキングされた時の被害がセキュアOSにより最小限になるのであれば、
SELinuxの優位性は価格だけなのだろうか？？？

モジラ組みもIISなんか使ってるからあんなことに・・・

書き込み少ないね。セキュアOSスレとかだったらもっと集まるのかな？

>>75
普通のサーバに使うのは面倒くさすぎるからね。
他のってLIDSとかに限らず、Trusted Solarisとか？

使ってるアプリケーションの動作を大体のところ分っているのなら、
そんなに難しくも面倒でもないのでは？

セキュアＯＳカンファレンス乙

allow gikonavi_t 2ch_file_t:file r_file_perms;

>>79
実行できないじゃん。

SE Linuxを有効にしてるとapacheにてWebDAVを利用する際にある小細工をしないと動かないのがつらい。
デフォでONだし、調べてみたら結構いい感じだからね〜

他に、不具合が出るものがあったら教えてくれ。
ちなみに、うんこvsftpdは問題ない。

>>81
vsftpdは平気なんですか。
認証とか平気ですか？shadowとかアクセスさせたくないんだけど。

普段リモートから管理するには、適当なユーザを作って
そのユーザにsysadm_rになれるようにして、
sysadm_rにしてからrootになれば良い?

>>83
適当なユーザでログインして、suでrootになって、newroleでsysadm_rになるのが正解
レガシーUNIXの特権ユーザだとか一般ユーザという考え方は、SELinuxの世界には存在
しないものと心得られよ。

selinux.jp死にっぱなし？

>>85
復活しても俺が速攻で落としてるからな。

>>84
suがsetuidされてるから怒られるのね。
だからsysadm_rにしてからsuしてた。

rootじゃないと、普通のチェック(SELinuxの前)ではじかれるから、
rootになるのは必須なんだよね。

suを許可するのが筋なのかな。

SELinuxでshadowのファイルの権限を有効にしようとして、make reloadコマンド
を打つと、エラーが出てしまいます。
どうしてですか？

FreeBSDからFedora Core3に乗り換えたけど
SELinux周りで死ぬほど苦しんでます。

詳しいページがあったら紹介してください。

>>89
sudo echo 0 > /selinux/enforce

assert.teだね

>>90
一般ユーザで行うんですか？

>>90
まぁ、それも一つの解ではあるのだけど(笑)

Perlで書かれたスクリプトを実行したら
実行されているようなんだけど（ファイル出力処理で、出力している）
print してる部分がコンソールに表示されない
./test.cgi > hoge
だと、hogeファイルにprintしてる部分が出てる
SELinuxを無効にしたら、コンソールに表示される

-rwxr-xr-x oresama oresama system_u:object_r:httpd_user_content_t test.cgi

うーむ・・・

>>93
httpd_user_script_exec_t

日立ソフトがIPAから委託されて開発した
SELinux/AID使ってる人います？

Turboは認定トレーニングはじめるみたいだけどTurboLinux10の
製品解説みると売りにしてるから多分これが前提の講習だよね。
http://www.turbolinux.co.jp/news/2005/jan/tl0118.html

>>66

> 行く前に大盛りスパゲッティー食った俺は ヽ(｀Д´)ノ

いつでもハングリーでいきましょう

2.4.28/29にbackportしてSELinuxを運用している方おりますか？

SELinux運用してる例が少なそう

>1
間抜けなタイトルをつけたもんだな、間抜け。
このスレは、「selinux」で検索してもタイトルがひっかからない。
こんな間抜けなタイトルをつける底抜けにでも
FC3のはそれなりに使えてるみたいだ。

>>99
Linux板のアホウはスレタイ一つまともに付けられないんです。
今に始まったことではありません。

これって、IPSとどう違うの？

>>1読めば分かるだろ？

流行りそうな予感

流行るかね。
まともに設定出来れば、一技能として認められるかな。

パッケージ選択数の多いディストリビューションは大変そう。

検索しにくい。

TURBOもだすんだっけ？

ターボはSELinuxができるのか
けっこう構築してノウハウたまったから採用したのかな

ターボは親会社が大変だな。
ちーそ

このスレッド、書き込みが少なくてさみしいね。
SELinuxを使っている人はまだまだ限られているのかな？
デスクトップ用としてLinuxを使っている僕には無縁なものなのでしょうか？

SELinuxを芹菜と呼ぼう

というか、こんなめんどくさいもの、流行らそうとしていること自体が悪

J●SA●のSELinux委員会の本人達がそう思っているんだから間違いない。
本家のNSA絡みの人たちもそう思っているんだから間違いない。

けど標準だ。やらなきゃ...orz

SELinux委員会なるものがあるのか！

Fedora coreを使っている人は結構簡単に使えちゃうような気が
するんだけど、実際どう？
じぶんFC２なんだけど、とりあえず有効にしてみた。
これから設定ツールをインストールして手探りでいろいろ試してみるつもり。

>>113
とりあえずこっちでもいいんじゃないか
http://www.37linux.jp/
会長ブログもあるぞ

>>115
これもターボがからんでいるとは

会長がおともだちのＰＣにリナックスを入れてくれるらしいぞ。
ﾊｧﾊｧ

会長！ベットの中でSELinuxについて教えてください！

fcファイルを編集のち以下のようにコマンドを実行したのですが反映されて
いないらしく、httpd.confのログファイルの出力先を変更した場合にhttpdを
起動する事が出来ません。file_contextsには反映されているようです。
更に何かする必要があるのだと思うのですがどうしたら良いのでしょうか？。

fcファイルに追加
/abc/public_html(/.*)? system_u:object_r:httpd_sys_content_t

make reload
load_policy policy.18

setfiles

>>119
変更範囲がわかってるなら、setfilesが速いけど、
make relabel っていうのが出来るはず。
あと、ログになんか出るんじゃない？

>>120,121
messagesに出力されているログですがこれの事でしょうか。
Mar 11 09:39:11 hoge kernel: audit(1110501551.417:0): avc: denied { search } for pid=3664 exe=/usr/sbin/httpd
name=server dev=hda2ino=7733249 scontext=root:system_r:httpd_t tcontext=system_u:object_r:file_t tclass=dir

make relabelでは全てのポリシーを書き換えているので時間がかかるという考え方で良いのでしょうか。
setfilesでは変更したポリシーだけを書き換える事が出来るの早いのですね。setfiles単独の使い方が良くわかって
いないので後々、勉強して行きたいと考えております。

make reload
make relabel
/usr/sbin/load_policy /etc/selinux/targeted/policy/policy.18

コマンドの順番を変えてみたりしているのですがそれでもhttpd.confのパスを変更するとhttpdを起動出来なくなり、
上記と同等なログがメッセージに出力されます。
また、/etc/selinux/targeted/contexts/files/file_contextsには変更箇所が出力されています。

何が原因なのでしょうか？

>>122
これも追加してみて
/abc system_u:object_r:httpd_sys_content_t

>>123
/abc system_u:object_r:httpd_sys_content_tを追加する事で起動に成功しました。
他のファイルで通常の/から始まるディレクトリへのアクセスが許可されていて、
/からの新規ディレクトリを作成した場合には新たにルールを追加しなければ
ならないという事なのですね。

ありがとうございました。

/abc
/htmlsystem_u:object_r:httpd_sys_content_t
/logsystem_u:object_r:httpd_log_t

という複数のサブディレクトリを用意した場合にはどうするべきなのでしょうか。

/abcsystem_u:object_r:httpd_sys_content_t
/abcsystem_u:object_r:httpd_log_t

では、make reload時にエラーとなります。

teファイルを覗いて見て、httpd_tを設定したら良さそうなので設定してみたら
make reloadは通ったのですがこういう設定に問題はないのでしょうか？

>>124
ちなみに、/abc を system_u:object_r:httpd_sys_content_t にできない場合は
fcじゃなくてteファイルに、こんなのを追加してみるのもいいかも
--
allow httpd_t home_root_t:dir search;
--
home_root_t は"ls -dZ /abc"などで確認して適宜書き換えてください。
間違っても root_t とかにはしないほうがいいと思うけどね。

>>125
/abc の後ろにスペース入れてる？

>>　k3CAiL8Zさん
httpd_tはダメでした。relabelで弾かれてしまいました。
teファイルを変更しない場合には、read writeが許可されている
httpd_sys_content_tを使用するのが良いみたいでした。

teファイルの方は未だ変更の仕方が良くわかりませんが、
allow httpd_abcd home_root_t:dir search;
とする事で httpd_abcd をディレクトリに割り振り出来るという
事なのではないかと見ています。書き込んだ後に変更を加えて
確かめてみたいと想います。

/abcの後に空白はあります。同じディレクトリに複数の設定を
行うのは無理のようでした。

>>128
勘違いしてるみたいだけど、やりたいことはfcに３行入れれば多分できるでしょう。
*.fc
--
/abc system_u:object_r:httpd_sys_content_t
/abc/html(/.*)? system_u:object_r:httpd_sys_content_t
/abc/log system_u:object_r:httpd_log_t
--

>>126 は
/abc をApache以外にも使うならteいじる必要あるかもしれないけど
という意味なので無視しといてください。

>>129
あ、大丈夫です^^。fcの方には129と同じようにしてあります。

teの方はhttpd_tにはroot権限？とディレクトリの検索を許可します。
という意味に見えます。実際にはhome_root_tにも設定があり、
継承しているという事になるのでしょうか。根本的な所まで
追いかけないと見えてこないものが沢山ありそうです。

>>130
Apacheでしか使わないならteいじんなくていいよ。
それ以外でも使うなら、"ls -aZ /abc"の結果でも教えて。

SELinuxに詳しい人多いんだね。
オレも勉強しなくては

SELinuxで使用出来ない文字、または誤動作の要因となる文字などはあるのでしょうか？。
httpdにおいて同一ディレクトリ同一所有権パーミッションでありながら表示できる画像と
表示できない画像が存在します。SELinuxを無効にすると正しく表示されるのでSELinux
が関係しているのは間違いないと想われます。

表示できないケースでは以下のようになります。
You don't have permission to access　path on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

>>133
表示できるファイルと、そうでないファイルの"ls -Z"の結果は？
アクセスできなかったときに"/var/log/messages"になんて出る？
最低限これくらい書いてくれないと答えようもない

>>134
申し訳ありません；。
$ ls -Z　ではディレクトリ内の全てのファイルが httpd_sys_content_t となっております。
アクセス出来なかったファイルの内、１つのファイルをha_b_012.jpg > ha.jpgに変更する
事でアクセスが可能となりました。そこで他のファイルでも_と数字を除きアクセスして
みましたが、こちらの方はアクセス出来ませんでした。

$ cat /var/log/messages
kernel: audit(1111151779.769:0): avc: denied { getattr } for pid=10813 exe=/usr/sbin/httpd
path=path dev=hda2 ino=7422115 scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file

RHELのクローンですから当然、RHELにも同様の問題があると想われます。
つまり、SELinuxって予想以上に使われてないのですね。
SELinuxが返って穴にならなければ良いのですが；。

穴が開いてるのはおまえの脳味噌だろ。
運用出来るだけの知恵が無いんだからSELinuxはdisableにして正解だったな。

>>137
好き勝手言って貰っても構いませんが何処が問題なのか指摘してください
.fcはphp(/.*)としてあり、問題となっているディレクトリはphp/abc/def/にあります

期待上げ！

>>137
２行しか書けないFedraユーザーみたいだね
無理言ってすまない

アンチFedoraは例外無く池沼ばかりだなw

>>140
うちにFedraもあるよ
ディストリを差別する気はありませんが特定の個人なら差別しても許せるかもね^^

言われたものだけじゃなくて可能性ありそうな設定全部書いてみれば？

audit2allow

いろいろと試行錯誤し考えてみた結果、原因となる幾つかの要因が見えました。
httpdポリシーにおける設定変更自体には全く問題ありませんでしたが結果と
してアクセス出来るファイルとそうでないファイルが存在したのは間違い
ありません。対処方法もいくつか考えられますが実際にどれくらいのファイルが
影響を受けるのか現状のまま確かめて見たいと考えております。

ただ、総合的にSELinuxの役割として予想外の動作をしていたのは間違いありません。

>>135
単純に
tcontext=user_u:object_r:user_home_t tclass=file
だからじゃないの？

home_tを読ませるように設定するか、
ファイルをきちんとラベル付けしなけりゃ問題があるのは
当たり前やろ。
DACで言うところの600root:rootのファイルが通常ユーザーでは
読めませんとかいう質問のようなもんだろ。

以下のように同じディレクトリにあるファイルで差が出るのはおかしくはないのですか？。
home_tだからというなら理由なら、ほぼ同じ条件にある他のファイルが読めるというのは
納得が行きません。www以下にあるファイルは全てhttpd_sys_content_tが適応されている
はずであり、読めないのであれば全て読めないのが本来あるべき動作のはずです。
home_tだから読めないという事であるならば、Ｚで表示されている内容と実際の内容が
異なるという事だと想われますが如何でしょうか？。

www(/.*)?

ls -aZ
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha_b_012.jpg
-rwxrwxrwx user user user_u:object_r:httpd_sys_content_t ha.jpg

ls
ha_b_012.jpg　←　読めない
ha.jpg　←　読める

だからおかしいのはオマエの脳。脳に障害があるのにサーバ構築なんかムリだって。

>>148
初期設定Fedra君、自分のスレにお帰りなされ^^。

脳に障害がある奴は常にアンチFedoraであるという法則w

>>149
いいかい、君はアスペルガー症候群だ。
既に何度かそう診断された事があるだろ？
障害を持つ身で努力しようとする態度は立派だけどはっきり言って迷惑だから帰ってくれ。
警察とか消防隊員とか、障害者には出来ない仕事があるんだよ。技術者もその１つ。
社会に貢献したければ君に出来る仕事は他にいくらでもあるはずだ。
自分の身の丈に見合う事をやりなさい。

>>151
>FC4T1のgijで動いてるTomcat、abでちょっとベンチ取ろうとしただけで落ちる。
FC4の実験、お疲れさま^^
それから「アンチFedora」というフレーズを少しは変えようよ
せっかくIDが変わっているのだし、もう少し効果的な発言をしようね
次の面白い発言に期待していますよん

期待あげ！

home_tのアトリビュートが取れないっていっているんだから、
/var/log/messagesの見てるところが違うんじゃないの。
まずパーミッシブにしてすべて動かしてみて、
引っかかる権限に対するルールを全て書き加えていけばいいじゃん。
（tail　-fしながら問題のある所をpermissiveでどういう
ログがでるか観察。）
SELinuxそのもののバグならバグの報告する。

>>153
お返事ありがとうございます。
アクセスしているパスが異なる、また勘違いなどは第一に疑いましたが、full_pathの部分は
確かに表示されないファイルのフルパスになっております。また、messagesファイルを
監視しても同様の結果としかなりませんでした。
ただアクセスさせる為なら闇雲にルールの追加を行えば良いのですが、それではSELinuxの
稼働意味が損なわれてしまいます。
また何度か検証した結果、この事例が発生する行程が判明致しましたが何分、TBDKXLZqさん
がおっしゃるように私は脳を病んでいる事もあり、またＰＣ歴も20年と浅いので妄想として
心に閉まっておく事に致します。

ご協力してくださった皆様、ご迷惑をおかけしました。

kernel: audit(1111188853.244:0): avc: denied { getattr } for pid=2555 exe=/usr/sbin/httpd path=full_path dev=hda2
ino=7422115 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file

SELinuxユーザー会のメーリングリストに投げてみたら？
ログにあった権限を追加していくのは、本当にログの
情報があってるかどうか確認する為で、その穴だらけの
状態で運用しろという意味じゃない。

基本的には
検証＞確認＞システム、もしくはポリシーの編集＞検証に戻る
てな感じにやっていくしかないんじゃないの？
ドキュメントも少ないし、成熟もしていないわけだから、全て最初から
完成させる事ができるとは思わない方が良いのかなと
個人的には思います。

なに、バグなの？

>>1
矢口真里写真集「OFF」

>>157
脳のバグ。

矢口ってちっちゃいけどかわいいよね。
モー娘。の中では一番、しっかりしていて頭が良いと思うよ。
ちゃんと勉強すればSELinuxぐらいマスターするんじゃないかな。

１つハッキリしたのはMLを読んでいる奴が１人も居ないと事実だけだな

fedora-selinuxなら読んでるがw

クライアントには使えるの？

Zend Optimizer(PHPのコード最適化エクステンション)が組み込まれないので悩んじまった。
httpdのエラーログには読み込みのパーミッションエラーで出てたのに、
インストールの設定に間違いない事しか確認してなかった。

勉強不足。徹底ガイド買ってきて勉強しよ

安定ディス鳥でカーネル2.6採用してる所ってまだ少ないんですね

ポリシーのバージョンが19になる、カーネルはどれですか?
2.6.11でも18なんだけど、まだカーネルツリーには入ってないのかな。

セキュアOSとアクセス制御の勉強がしたいのですが、
「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
「SELinuxシステム管理―セキュアOSの基礎と運用」
という本が2冊あるのですが、どちらのほうが詳しく書いてあるのですか？
どなたかご存知の方いらっしゃいますか？

>>167
徹底管理は日本で昔からセキュアOSに取り組んで来た人が書いた本なのでこちらを薦める。
もう一方は翻訳本。こちらのほうが新しく、内容も詳しくてリファレンス的。
でも最初に読む本としてはちょっと難しいかもしれない。

「徹底管理」じゃなくて「徹底ガイド」ね。

いまどきFedoraCore1ベースの内容は古すぎないか？

>>168,169
詳細サンクスですm(__)m
早速注文して、勉強しようかと思います。

>>170
fedora 1ベースでも、SE Linux自体の設定は変わらないと思いますのでそこら辺は問題ないかと。
出版された時期が時期だから仕方ないでは？

2冊しかないんだし、両方買っちゃえばいいじゃん

「SELinux徹底ガイド―セキュアOSによるシステム構築と運用 基本的な仕組みから高度な運用管理方法までを徹底解説」
を購入しまして、ただ今勉強中なのです。

part1のセキュアOSの概要の中で、実際にwu-ftpdでの侵入をやっています。
自分のマシンにwu-ftpdを入れてローカルにて侵入してみたいのですが、ソースコードが見当たりません（侵入プログラムだからそう簡単に配布できないのは分かっています）
そこで、本の中でプログラムにつけられてた名前（ftpexploit）で検索をかけたら、それっぽいソースコードが引っかかりました。
http://www.hackemate.com.ar/ezines/raza_mexicana/raza011/c0digo/unix-ftpexploit.c

だけど、これ（コメント文が）英語ではないっぽいので使い方が分かりません。
どなたかご存知の方がいらっしゃったら教えてほしいのですが。
決して悪いことには使いませんので、宜しく御願いしますm(__)m。

>>173
引数が1つしかなくて、あんなに短いソースなのに？

邪な心があるから読めないんだよw

>>174
言われてみれば、そこまで長いソースでないので頑張って読んでみます。
だけど、知らない関数が…

ちなみに、ソースコードの.arからアラビア語だと思って、翻訳かけたらすごいことに…
コメント文に何が書いてあるかちと知りたい。

>>176
そのまま自動翻訳掛けてる時点でMake
Exploit C0D3D by [Hellraiser]を自分で訳してみな。

アラビアって名前の国はないんでどうかひとつ

アラブ首長国連邦なら .ae
サウジアラビアなら .sa

世界のドメイン情報
http://www.benri.com/domain/

>>177
>Exploit C0D3D by [Hellraiser]を自分で訳してみな。
自分で訳したら、「Hellraiser（ヘルレイザー）によってC0D3Dを開発する」
って感じになるのですが....。

>>178
間違ってたみたいですね。
arだからアラビア圏のどっかだと思ってました。
.arは、アルゼンチンですね（言語はスペイン語）
ありがとうございますm(__)m

C0D3D ってのは coded って読むのだよ。

>>180
そうだったのですか。ありがとうございます。

ということは、「Hellraiser（ヘルレイザー）によって功績は暗号化された」ってことになります。
>そのまま自動翻訳掛けてる時点でMake
の意味が分かりました＠＠

googleで調べりゃくさるほどコード出てくるけどな
もっとよく探してから聞けよ

なんか話がそれてるな

Oracleのポリシーできた？
ってか、日本オラクルは作ってくれないの？

ttp://www.nsa.gov/selinux/

HTTP/1.1 200 OK
Connection: close
Date: Thu, 12 May 2005 13:37:45 GMT
Server: Microsoft-IIS/6.0

どこまでほんと？

ﾊｧ?

>>184
ヘッダ情報だけだからいくらでも偽装できる

>>184
Windows Serverっていうのは本当っぽいよ。
OSとWeb Serverを表示させるHPでやってみたら、

OS:Windows Server 2003
Web Server:Microsoft-IIS/6.0

って出てきたから。

流石NSAだ
俺らはWindowsだろうと堅固に出来るぜということか

age

　

ＮＳＡによる壮大な釣り・・・・だと思う

Windowsの方がLinuxより堅牢にするのは簡単そうだ
Windows： 穴がすぐ出来るがすぐ塞がる
Linux： 穴がなかなか出来ないがなかなか埋まらない
だからな

>>192
もうすでに発表から何ヶ月も過ぎている穴がいくつもポコポコあいてますが・・・
MSは穴を塞ぐ気がないようですが・・・
簡単ですか・・・そうですか・・・

>>192
お前はアホか？
Windows : 穴がすぐ見つかる上にMSにその気がなければ、平然と何ヶ月も放置。全てはMSの気分次第。
Linux : Windows同様、穴が見つかる事も多々あるが、オープンソースコミュニティにより、誰かがその穴を塞ぎすぐにパッチがでる。

>>194
＞誰かがその穴を塞ぎ
ここが弱い。近年どんどん弱まってる。保証も無い。

MSの場合、気分次第とは言ってられないから必ず穴は塞がれる。

http://headlines.yahoo.co.jp/hl?a=20050802-00000004-cnet-sci

だとよｗ

>>195
MS狂信者が何故ここに？
http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=Windows+%E6%9C%AA%E4%BF%AE%E6%AD%A3+%E8%84%86%E5%BC%B1%E6%80%A7&num=50

make　clean

-bash: make　clean: command not found

コマンドまたはファイル名が違います

newrole -r 2ch_r

RHEL4 で初めて SELinux であたふたしたんですが
FC4 使ってる人達はあたふたしないもんなんでしょうか。
このスレは非常に平穏に過ぎてるなあ。

>>202
速攻でSEは殺すから大丈夫ですよ

SELinux Policy Editor　使うと楽なの？

いいえ

(使えない)SEは(誰かが)頃すから
(使えるSEだけになるので)
大丈夫ですよ。

fedora core 1にSE Linuxを組み込んでいろいろしてたのを考えると、
fedora core 3、4のほうがめちゃ楽。

RHEL4 で、SELinuxを簡単に設定する方法ないですかね？

SE Linux の設定と言うけれど

1. setenforce 0 で殺した
2. コンテキストを与えまくった
3. bool を変えまくった
4. 俺専用ポリシーを作成した

どの辺りまで実践してるんだろう。

>>209
４　が簡単な方法。。。があれば。orz...
LIDS 　の方が簡単そうで良いけどね。

セキュリティはいつの時代も難しいね。
SELinuxもそのうち慣れそうと思ったけど

>>209

0.Fedoraインスコ時、チェックボックスをクリック(デフォ？) orz

>>211
でも、全然なれない。複雑すぎ。orz

>>212
その画面で警告にするんだよね？

複雑って言うか面倒だよなあ。。

xinetd から立ち上げるサービスが有ったとして
個々のサービスについて複雑にアクセス制御できるんだろうか？
とりあえずオライリーのSELinux本買ってきたけど
読み終わるまでしばらくかかりそうな薬缶。

>>214
その手のは出来るよ。

厳格に運用するマシンじゃないとただ面倒なだけだね。

domain_auto_trans(inetd_t,***_exec_t,***_t)
で分けられそうじゃん

ターボってSELinux入っているのね。
セキュアOSもホリエモンか

勉強会あるみたいだよ

セキュアOS盛り上がらないね
なぜ？

http://www.atmarkit.co.jp/fsecurity/rensai/selinux01/selinux01.html

SELinuxシンポジウムに行く香具師はいないのか？

SELinuxも何かあるのか。。

米国家安全保障局（ＮＳＡ）の国内盗聴問題で、米紙ニューヨーク・
タイムズ（電子版）は２３日、盗聴などの情報収集は、複数の通信会社
の協力を得て通信網の根幹部分に直接アクセスして行われ、得られた
情報量はホワイトハウスが確認しているよりもはるかに大量である可能性
がある、と報じた。

同紙によると、ＮＳＡがアクセスしていたのは、米国の通信回線と国外
の通信回線をつなぐ「スイッチ」と呼ばれる交換機に当たる部分。当局者らは
「大規模データ採掘作戦」と呼び、電話や電子メールの発信地や送り先、
日時や通話時間などのパターンを分析。２００１年の米中枢同時テロ以降は、
特にアフガニスタン絡みの通信に注意していたという。

主要通信会社の元技術担当責任者によると、複数の通信会社が通信
データを保存、テロリストの捜索を支援するため、連邦政府にデータを
提供。ＮＳＡで以前勤務していた専門家によると、当局はこの技術を利用
するため、通信会社に対し、米国を経由する国際通信量を増やすよう
働き掛けていたという。

http://www.sankei.co.jp/news/051224/kok067.htm

俺がソース読んだ限りでは変な記述は見当たらなかったが、
それほど自分のスキルに自信があるわけでもないので言い切れない(笑)

ここでいいのかわからんけれど

/home/oreore/public_html に user_u:object_r:httpd_sys_content_t
にしているわけで

これだと、FTPやSambaからアクセスできないです
ちょっとした CGI を作ろうと思ってここまできましたが

どうすればいいでしょう？

allow ftpd_t httpd_sys_content_t:file r_file_perms;
allow samba_t httpd_sys_content_t:file r_file_perms;

>>225
ありがとう
うまくいきました

>>225
それだと、ファイル生成やサブディレクトリへのアクセスができない。
allow {ftpd_t samba_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t samba_t} httpd_sys_content_t:dir create_dir_perms;

の方がより適切

最小権限をどこまで最小権限にするのかの見極めが難しいな

確かに
アクセスできたことで、安心してしまっていた

>227
samba_t まわりでエラーが出ます
まぁ、FTP使えればいいんですけどね

allow {ftpd_t smbd_t} httpd_sys_content_t:notdevfile_class_set create_file_perms;
allow {ftpd_t smbd_t} httpd_sys_content_t:dir create_dir_perms;

を apache.te に入れたらうまくいきました
ありがとうございます

>>230
すまん、samba_tじゃなかった。

あと、CGIを動かす場合には httpd_sys_script_exec_t 付けるのを忘れないようにねん。

たいして勉強もしないでSELinux難しいって言うやつ多いよ

難しいんじゃなくて面倒くさい。

面倒くさい→難しい
ってことなんじゃね？

1秒差かよｗ

>>232
勉強しなきゃいけないから、難しい
って理屈は通りませんか？

難しいから勉強するんじゃね?

iptablesとかsnortもSELinuxを同じくらい面倒ではないか

日本語で(ｒｙ

めずらしくレスあるな。
SELinuxとTOMOYOLinuxできればどこでも転職できます
ぐらいの売り込みすればみんなOFFにしないんじゃん
実際まだ扱える人材は少ないけど、注目度は高いんだし

とりあえず今からVine用にポリシーを書いて安定動作させられるだけの人材なら転職が楽だと思う

今はSELinuxを扱える人材を募集している会社がまだそんなになさそう。
そのうちLinuxを扱うエンジニアには必須項目になってくると思うけどね。

本気か？
こんなめんどくさいもん入れるやつは出てこないよ。

面倒だからこそメシの種になるんじゃないのか

ここにもいるであろう”SELinuxを扱える人”って、MLSやらDTEやらRBACやらのセキュリティポリシーモデルもちゃんとお勉強したの？？

>>244
客は理解できないから発注しない。

つうか、SELinuxのポリシーを業務で *本当に* 扱えるってことは、システムの要件全体や
全プロセスの挙動、業務フローまで全部理解してるはずじゃない？
それだけのスキルがあればSELinux抜きでもメシを食えると思う
Hello Worldレベルの設定で喜んでるなら別だけど

targetedならできそうじゃね？

FedoraCore5のSELinux触った？
新しくなっててよくわからなくなってるし

FedoraCore5のMCSにはバグがあるから気をつけろ。

アメリカの軍事機関産なんてもんは
ウィルス流し込むのと変わらん

MCSにバグあるのか。そもそもMCSをよく理解してないけど。。

プロセスのカテゴリ間遷移に何の制約もかかってないので、結局どんなカテゴリを設定したところで

% runcon -l SystemLow-SystemHigh /bin/bash
一発でアクセス可能になってしまうという…。

>>251
そうだな。

ネットの技術なんてアメリカの軍事から産まれたの多くないか？
日本だと防衛庁がつくれば日本人エンジニアも納得って感じか？

それなんて富士通？

それってWindowsUpdateはウイルス流し込むのと変わらない
と言っているのと同じ気がするけど

SystemLow-SystemHigh ってなんだ？
また新しい機能はいったん？

>>258
それがMCSクオリティ

デフォルトの設定で、全てのカテゴリを包含する(全てのカテゴリに権限を有する)カテゴリに対して付けられたエイリアス
要するに、カテゴリ0〜カテゴリ255まで全部ってことだな。

/etc/selinux/targeted/setrans.conf 見れ

#
# Multi-Category Security translation table for SELinux
#
# Uncomment the following to disable translation libary
# disable=1
#
# Objects can be categorized with 0-256 categories defined by the admin.
# Objects can be in more than one category at a time.
# Categories are stored in the system as c0-c255. Users can use this
# table to translate the categories into a more meaningful output.
# Examples:
# s0:c0=CompanyConfidential
# s0:c1=PatientRecord
# s0:c2=Unclassified
# s0:c3=TopSecret
# s0:c1,c3=CompanyConfidentialRedHat
s0=
s0-s0:c0.c255=SystemLow-SystemHigh
s0:c0.c255=SystemHigh

Fedora Core 5 にして、現在後悔中
どうやってポリシーいじればいいんだ・・・

FC4→FC5は別物だな

http://seibun.nosv.org/?p=SELinux

SELinuxの71%は罠で出来ています
SELinuxの13%は情報で出来ています
SELinuxの8%は気の迷いで出来ています
SELinuxの8%は理論で出来ています

なんか笑えた。結構合ってるような気が…。

>>262
ﾜﾛﾀ

やっぱりfedoraは危険だなぁｗ

>>262
exe版と結果が違うんだが。

ってかMLSとか、MCSって必要なの？
いままでの仕組みで十分じゃね？

MCSはすっごく使いやすいで。

ポリシー全く編集せずに特権分割まがいのことができる。

カテゴリーごとに分割するだけでいいってことかな。
勉強してみよう。

SELinuxを有効にして運用しているサイトってどれぐらいあるの？

# ls -Z
が出来なくなりました

[root@xxxx ~]# ls -Z
Sorry, this option can only be used on a SELinux kernel.

こんなメッセージが出ます。
どこを直したら良いでしょうか？教えてください。

自己解決しました。
SELinux Policy Editor　を導入したためでした。

お騒がせしてすいませんでした。

ラッセルって誰ですか？

>>271
赤帽の人です

なるほど。赤帽の人ですか。
日本で勉強会するために来日とかですか

ラッセルは何しにきたの？

ここの過去ログかなり参考になったのであげときます

許可されていない操作です　で拒否られないようにっと＞＜

政府が日本版SELinuxを税金でつくるらしいね。ホントかよ
TOMOYOでいいような気もするけど

>>276
さすがにwinnyで情報流出のTVいっぱい流してたし、そういう流れでしょ

ブッシュ大統領、NSAによる米国内の通話データ収集を擁護
ttp://japan.cnet.com/news/media/story/0,2000056023,20111027,00.htm

こういう印象がNSAにはあるから、SELinuxを政府では使いたくなくて、
日本版をつくるってこと？

>>276
>>278の話もあるけど、
そんなことするなら、SELinuxの検証した方がいい気がする。

TOMOYOでもいいけど、RBACはこれからも予定はないんだろうか。

OSSなのに何か仕込まれているのかなあ？
バレたときいいわけできないじゃん
まあおエライ人の考えることだしねえ

>>278-280
文句言う前に、とりあえず喪前らソースでも読めよと。

政府の役人はNSAってだけで怖いんだな

国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表

　開発を進める「次世代OS環境」は、WindowsやLinuxなどをゲストOSとして稼動
させることのできるVM（Virtual Machine）環境をイメージし、このVM環境に
セキュリティ機能を組み合わせた「セキュアVM」と呼ぶ環境の構築を目指す。

http://internet.watch.impress.co.jp/cda/news/2006/05/23/12063.html

これのこと？

ゲストOSにSELinuxつかうの？

http://enterprise.watch.impress.co.jp/cda/security/2006/05/26/7902.html

どこらへんが対応なんだかわからん。

ServerProtect用のポリシーがついてくるとかｗ

こんなもんに金かける前に
I18N を主導して欲しかったよ。

LinuxWorld行った？

LinuxConrefence行った？

LinuxWorld行けなかった。。。
SELinuxネタは多かったの？

>290
もう右を向いても左を向いてもSELinuxって感じだったよ。

ホントかよ！
なのに導入事例はいっさい聞いたことがない。。。

前や後ろを向いたら違うものが見えてそうだ。

LIDSとAppArmorが見える

SELinux　　　　　　　　Sex
AppArmor　　　　　　　Armor

コンドーム！！

SEXは
「Security-Enhanced X」
のことだよね

2006年度UNIX/Linuxセキュリティ実践講座開催のご案内
http://www2.tamacc.chuo-u.ac.jp/kikoh/sec_ikusei/2006unix/unix2006.html

いまさらだが、なにこのスレタイ

"SELinux"で検索することぐらい普通考えられるだろ

>>33

＞＞２９８

Security Enhanced Linuxはアメリカでは、略してセックスと呼ばれることが多いので、
セックスもスレタイに入れたほうがよい。

Sexurity Enhanced linuX = SEX

>>300
は？SE-XはSecurity Enhanced X (X Window System)のことだ。
SELinuxについて100万回勉強してから釣れ。

なんか設定ツールができたらしいね

100万回勉強したら高待遇で転職できるかも

あと99万と8600回くらいだなぁ・・・

なにをもって一回と数えるの？

checkpolicyを実行してポリシーをビルドした回数でいいんじゃね？

一日100回はビルドするから…1万日か。無理だｗ

>>306
長生きしないとな。

並列処理しよう

お仕事で鯖立てている人で、ポリシー設定を1からやらなきゃいけない場合どうやってる？

1.いきなりStrictにして1からゴリゴリポリシー定義
2.targetedで起動→もとから定義されているポリシーを基に必要なポリシーを定義。不必要なポリシーは捨てる
3.ポリシーエディタでGUIマンセーと言いながらポチポチ…
4.SELinuxマンドクセ(´Ａ｀)から使わない。クラッキング？されないよ。


さぁ、どれ？

>>309
４
鯖移行の時間的猶予がなかったから
そこまで手が回らんかった

セキュリティコンテキストの粒度が粗すぎる。
手間のわりに得られるものが小さい。

>>309
1かな。SELinuxとポリシのバージョンにもよるけど
基本的には一つ一つつぶしていく。
おかげでシステムに変更があるたびにひぃひぃ言ってるけどねー。

>>311
というと？network周りの粒度はだめすぎだけど、どの辺が粗いの？
security contextってラベルのことで、粒度じゃないんだが…。
標準のポリシで宣言されてるsecurity contextが粒度が粗いってこと？

結局strict使わないとガマンできなくなってきた
targetedじゃ不満なの

WikipediaにSELinuxの項目を作ったびょん♪
みんな校正よろぴく！

ttp://ja.wikipedia.org/wiki/SELinux
これだな

>>314 さん、残念！

GFDL違反だったのね。はやく直してね

ｏｒｚ　
ひﾟょん♂はめげないびょん！　
みんなの努力は無駄にしないびょん！

/etc/initdの中のデーモンスクリプトの中で
suコマンドを書いてOS起動するとsuのところで引っかかって起動しなくなります。
(Enforcingはもちろん、Permissiveでもなぜか止まってしまう)

どうやらドメインがconsole_device_tになってるようですが、
このあたりの挙動についてご存じの方はいますか。

ちなみにOSはCentOS4.3です。

おれはTOMOYO Linuxを使うことにした。
上司が原田知代ファンだったらしいので、
気に入るかもしれん（ｗ

よくわからんが、SELinuxを使うとSambaが通らないのね。。。。
もっと早く言ってo( ﾟДﾟ)oﾌﾞﾝﾌﾞﾝ

>>319
えーと…その情報だけじゃ状況が掴めないな。
もっと詳しくやりたいなら、
fujiwaraさんのSELinux Hackにいくべきだけど、ログとかどんな状況？
ブートパラメータでSELinuxをdisableにすれば動いてると思っていいのかな？

てか、そもそもsuは使わないほうがいいと思うのだけれど。
. /etc/init.d/functionsしておいて
daemon --user hoge_user mage_commandじゃ駄目？

>>322
suを使った場合、pam_selinux.soが選択可能な全てのドメインを表示して、
さぁどれにする？と聞いてくるので、そこで固まってしまう。
なぜかと言うと、/etc/init.d/xxxx を実行した時点で initrc_t に遷移する
ので、そこから各デーモンのドメインに遷移可能となっているから。

sshdなんかはunconfined_tで動いてるので、選択の余地なくunconfined_tと
なるので何も聞かれない。

対処策としては、suではなくrunuserを使う。
こいつはrootで実行する必要がある(suidされてない)が、任意のユーザに
切り替えてコマンドを実行することができる。まぁ、/etc/init.d/xxxxを
実行するのはrootだから問題ないわな。

/etc/init.d/postgresqlがいいサンプルです。いじょ

>>322-323
ありがとうございます。
おっしゃるとおり、suだと聞いてくるためとまってたようです。
postgresqlを参考にすればうまく動作しました。

ちなみに動作させたかったプログラムはTomcatでした。
まだまだSELinuxの実運用までは遠そうですが、ようやく一歩踏み出せました。

そういえばstrictポリシーのpolicy.confをwc -lしたら
22万行もあった。
SELinuxの根本的な設計が間違ってるような気がしないでもないが、どんなもんでしょ？

労力の割りに得るものが少ないなと感じる。
UNIX の伝統的なアクセス制御には問題あるけど
ACL 使えるなら実用的には十分じゃないかと。

jvm の上の tomcat で動く webapp 単位で
きめ細かな制御とか出来るなら魅力的だが
どうやればいいのか分からない。

まぁ、そもそもSELinuxがアプリケーションレベルでのバグや
設定ミスに対する最後の備えだからね。

守るべきモノの価値が大きくなればなるほど、ありがたみが
出てくるというもの。個人レベルではちょっと難しいか…。

ACLでもroot権限がある限り意味なくね？

rootのっとられたらそりゃ終わりさ。

管理者権限奪取を防ぐのがSELinuxじゃないの？
企業とか個人とかの問題ではないような

管理者権限を制限するのがSELinuxの目的では。
奪取されることを前提に、奪取されても好き勝手されないことを目指す。
企業とか個人の問題でないのは確か。

でも全Linuxerの何%がポリシー作るところからやってるのかな？

>>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり？

>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば？という話になるし。
（POSIX ACL。Kernel2.6以降で利用可）

>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用）
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。

まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。

>332
書き方が分かりにくかったかも知れないけど、
私はACL使えりゃ十分でSELinuxまでは必要としてない、の意。
(「必要としてない」はもちろん建前で、本当は使いこなす自信が無い。)

>人間業じゃなくて神業の領域だけど。
だよねえ。。

TOMOYOLinuxのポリシー自動作成機能をSELinuxでも実現してくれー

>>332
daemon --user は不勉強にして知らんかったです。
ただ、/etc/rc.d/init.d/functionsの中のdaemonの定義を見てみると
　# And start it up.
　if [ -z "$user" ]; then
　　$nice /bin/bash -c "$corelimit >/dev/null 2>&1 ; $*"
　else
　　$nice runuser -s /bin/bash - $user -c "$corelimit >/dev/null 2>&1 ; $*"
　fi
とあるので、どっちにせよ最終的にはrunuserを呼んでますな。

これ使えば、間違って全ファイルの所有者/グループを
root/rootにしてしまったLinuxをそのまま使いつづけることも可能？

SELinuxって実はけっこう使われているの？
rootをなくすことができるってのはかなり魅力的
こいつがいちばんの原因だから

Targetedでも、保護されたデーモン→脆弱性→乗っ取り・(権限を持った)root昇格、というパスは断ち切られているよな。

unconfined_tってフルアクセス権じゃないってこと？

思ったほど難しくないよね

結局あれ以来SELinux使ってません(Permissiveではありますが…)
オライリーの本をひととおり読んではみましたが、いまいち理解できないままです。

このスレも廃れてますね…

誰か、これわかる？
ttp://bbs.fedora.jp/read.php?FID=9&TID=4775

SELinux儲かってる？

>>340
SELinuxは難しいんじゃなくて、面倒くさいのが問題とオモウ

継続的に見ていけるならいいけど、多人数が絡むと引継ぎとかが
大問題。ルールが地層の様に詰み上がって、５年後位には変更が
超困難なシステムになってそう。

メンドクサイって言うとSELinuxだけじゃなくて、
普通にiptablesとかなんでもメンドクサくない？
引継ぎもSELinuxだけじゃなくて、どのプロダクトも問題じゃない？

そだよ。だからiptablesでもサーバ設定もルール駆使した設定は躊躇うね。

非常にうまいパズルみたいな設定を思いついても、未来の自分とか５年後に
投入される引き継ぎ相手とか考えると、説明に時間のかかることはできない。

サーバのセットアップは10%が設定で90%がドキュメント書きです。

しかし分厚くなったドキュメントは読まれず意図の伝承はされないのだった・・・

あるあ・・・・・



・・・ある

SEEdit使えるディス鳥だと滅茶苦茶楽なのね

>>350
debianにも対応して欲すい。

SLIDE
http://oss.tresys.com/projects/slide

>>352
うーむ。玄人向けのツールでつねw。

restorecondというデーモンを知ったとき、
SELinuxは失敗作だと思いました。

>>354
どういうこと?

http://pc9.2ch.net/test/read.cgi/mac/1171230282/64-66 によると
LVM,セキュアOS,Xenは目糞鼻糞な技術だそうです

セキュアOSの何たるかもしらない低脳が煽りあってるみたいね。
こっちまで持ってくなくていいじゃん。

SEBSDだってSEDarwinだってあるのにねー。

まぁ、正直Macの宣伝のプロパガンダには辟易してるわけですが。
ウィルス対策しなくていいとかさ。

Debian sidでSELinuxを有効にしてみた。

ttp://wiki.debian.org/SELinux

を見てやってみた。とりあえずpassiveモードで動かすことにしよう。

動かした後は、

ttp://fedora.redhat.com/docs/selinux-faq-fc5/

に書かれていることの方が詳しいらしい。英語だけど。

慣れれば簡単だよ。がんばれ！

今までSELinuxオフにしててさっきEnforcedに設定したんだけど、
いきなりWindowsXPからSambaで共有してるフォルダにアクセスできなくなった

Gnome→システム→管理→セキリティーレベル設定から
「Sambaにユーザーのホームディレクトリの共有を許可する」にチェック入れたら
アクセスできるようになった

しかし、FedoraCore6側のファイルをWindows側にコピーしようとすると
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」
と出ます。

どうやったらSamba使ってのファイルの移動ができるようになりますか？
SELinuxをオフとかPassiveモードはなしでお願いします。

げっーーー、SambaどころかユーザーでGnomeにもログインできなくなったｗ
Linux触って1ヶ月も経たない俺じゃ無理だな

SELinux OFF。。。

SELinuxって、gentoo wikiでは、サーバー用途で使用してくださいって書かれているけど、
ワークステーション用途では駄目かな。

SELinuxでSamba使えるようにするおまじないってあるのか？
もれは挫折したよｗ

samba_enable_home_dirs

こういう沢山の設定項目があるツール。
そういうのをCUIでやるのは
無理がありすぎる。

こういうものは、GUIツールで
カテゴリ別に分類し、
説明（当然日本語）を横に併記するツールを
使わないと手におえない。

昔のアドベンチャーゲームみたいだよ。
しっているか？ 昔はコマンドを選択するのではなく、
コマンドを入力するんだよ。

「go west」「open door」見たいにね。
こんなの今やりたいと思う？

GNOMEのGUIツール信用できないぞ。
setenforceの値と /etc/sysconfig/selinux の設定にズレが出来てて、
起動が途中で止まるし、/etc/sysconfig/selinux が root でも書き換え不能になった。
GRUBで selinux=0 としたら書き換え出来て復活したけど。

>>365
polish pillar

>>366
/etc/sysconfig/selinuxって
/etc/selinux/configにリンクしてんのはじめて知った

SEポスグレってすごいの？

で、誰か実際につかっているの？

ノ

/opt以下につっこんであるやつの設定を追加しようとしたけど
元々の/optのが優先されててだめぽ
なんか悔しいぞ

↑？

Security Contextを貼り付けたいんだけど、
既に定義が書かれていてコンフリクトした挙句、
元々のが優先されるって意味だと解釈してみるテスト

>>374
semanageでファイルコンテキストを設定できるにょ。

えっと
今 CentOS 5.0 + Apache 2.2.3 + SELinux でドツボにはまってます。
google先生に聞いても埒があかない状態で困ってます。

まずは、ここにあることは全部やったんです。
ttp://bbs.fedora.jp/read.php?FID=9&TID=4246

だけど
chcon -R -t public_content_rw_t public_html
をやると、cgi(Perl記述のもの) が正常に実行されません。
Internal Server Error です。

/var/log/httpd/suexec.log をみると
「cannot get docroot information (/home/user1)」が出ています。

suexecは有効になっていません。(apachectl -V って実行すれば確認できるんですよね？)
setenforce 0 をすると動くし、
/sbin/restorecon -RF public_html をすると動くんです。

もし、何らかのヒント、キーワードなどを提示できる方がいらっしゃいましたら、ご教示お願いします。

えーと、俺まだ4.4使ってるんで詳しいことは分からないのだが、まずはgetseboolしてごらん。

えっと、すいません。
getsebool -a 眺めてもさっぱりわかりませんでした。

んで、その中に
httpd_enable_ftp_server
なんてものを見つけて、これをONにしたら、

chcon -R -t public_content_rw_t public_html
/usr/sbin/setsebool -P allow_ftpd_anon_write 1
/usr/sbin/setsebool -P allow_smbd_anon_write 1

これらをやらなくてもちゃんと FTP で読み書きできるじゃないですか。。。

Sambaでのpublic_htmlは、便利とともに、問題も感じていたので、
この際、FTPベースでの運用に切り替えたいと思います。

どうもありがとうございました。

実験環境の5で見てみたけど
man httpd_selinuxしても、まだhttpd_enable_ftp_serverの説明はないみたいだね。
一応、httpd_selinuxのmanが書かれた時期は
public_content_*_tにすることでSambaやらhttpdやらで共有できるようにはなるとある。
…まぁ、targetedならsambaにせよ、幾つかseboolのフラグ変えるだけで問題ないんだけどね。

seeditの*.deb版マダー？

http://www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html

>>381
> http://www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html

でも、まだまだSELinuxって使いにくいよねぇ。

TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
１００００００ペリカ

習合って……双方の開発主体を知ってて言ってる？

だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
ttp://esashi.mobi/~matthew/wordpress/archives/80
ここいら見てみなよ。

あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。

SELinuxを有効化した導入は進んでますか？

ubuntuでselinux入れてみた
動かない　MLで揉めてるふいんきだｗ
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ　ｳｰﾑ
ぐぐってるとバグだらけのｵｶﾝ

>>386
ディストロに拘りがないなら Fedora にしてみたら？
今のところ、俺のところでは特に問題なく動いてるよ。

>>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよｗ
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな　茨の道はまだまだ続く

・kernelに権限昇格の脆弱性がある
・WEBアプリ（PHPやCGI）に脆弱性があって、ローカルアタックかけられる状態

この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか？

age

help me

SELinuxを勉強したいんで頑張ってます。

MySQLは起動してるんですが（シェルから入れる）
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。

あ！httpd_can_network_connect_db=1にしたら接続できました！
お騒がせして申し訳ない。

ぬるぽ

>393
ガ

ぬるぽ

age

ume

すっかり廃れてるスレみたいですが、seedit 公式フォーラムの方が死んでるようなので
質問させてください。

CentOS 5.5 に seedit をインストールしてみましたが、
設定後 audit.log を一旦削除 & 再起動して /var/log/audit/audit.log を見ると
seedit インストール前とまったく同じ denied が出てしまいます。
また、再度 audit2spdl を実行すると前回と同様の(既に追加済の)ポリシーが suggest されます。
# ポリシーの追加は各 .sp の最後の } の直前(つまりポリシーの末尾)に書き込み

あるいは、(例えば) seedit-template -d proftpd_t -e /usr/sbin/proftpd > proftpd_t.sp
などとやって新規のドメインを作成 & 適用 & 再起動後、
seedit-unconfined -e | grep proftpd してみると
xxxx proftpd Unconfined(initrc_t) と unconfined のまま。

ということで、ポリシーの変更がまったく反映されません。
マニュアル再読 & ぐぐってインストール事例など見てみても特に間違ってるように見えません
…が、何かを見落としてる or 勘違いをしているのだろうと思われます。
何をどうすればいいのか、ご指摘頂けると助かります。

ちなみに行ったインストール手順は以下の通りです。

(1)Permissive にする
(2)checkpolicy および setroubleshoot を yum でインストール
(3)seedit-2.2.0-1.cos5.i386.rpm および seedit-policy-2.2.0-1.cos5.i386.rpmをダウンロード
(4)rpm -ihv seedit*
(5)/usr/sbin/seedit-init
(6)reboot
(7)sestatus で Policy from config file: seedit になっていることを確認
(8)audit2spdl -al で suggest されたポリシーを /etc/seedit/policy 下の各ファイルに追加
(9)seedit-load
(10)reboot

保守

# ls -Z /home/
drwx------. hoge hoge unconfined_u:object_r:user_home_dir_t:s0 hoge
drwx------. homu homu system_u:object_r:user_home_dir_t:s0 homu
この場合、上記のhoge,homuのどちらが正しいのでしょうか？
CentOS5.5では、user_uとなっていたような気もします

test

SELinuxの夜
http://togetter.com/li/275551

ちょっとおちつけ

まぬけw

test

SEで始まってXで終わるものなーんだ？

SELinux開発者の一人から重要なメッセージ
ttp://www.youtube.com/watch?v=QJJm65xWtwY

RHELのクローンやめるかもしれんらしいぞ・・・

>>409
まあこういう考え方もあるからいいんじゃないか？

SELinuxって今はどうなってるの？
AppAmor にみんなは乗り換えてるの？
それとも TOMOYO ?

Fedoraではデフォで有効だから
それなりに使っている人はいるのではないかと

Fedoraではデフォで有効だから
それを無効にしてる人が多数ではないかと

トモヨってもあるけど、OSではないだろ

>>1

SELinuxてNSA製だけど大丈夫なんかないろいろと


米帝NSA「海底ケーブル出口でデータ全部ぶっこ抜いて分析してた」
http://engawa.2ch.net/test/read.cgi/poverty/1382969585/

>>415
そういえば、たしかにNSA製だったな…
使うのは止めたほうがいいのかな？

>>415
まったくsecureじゃない件ｗ
今まで使ってたけどこれはトモヨさんに乗り換えるべきかなあ？

どうぞどうぞ。

SELinuxの本体はcoreutilsなん？
これさえインストールしなければ大丈夫なのか、
あるいはlibとリンクしているだけでも危ないとなると、
殆どの大手サーバアプリはグレーということになり、相当厄介だぞ…。

>>419
ソース見て指摘してくれる？

こりゃもう自作 OS しか使えないな。

RPMでもdebでもいいから試しにlibselinuxをアンインストールしようとしてみろ。
たくさんのパッケージ、それもサーバ用途のものほど
libselinuxとリンクしていることは、ソースを見なくても分かる。

もちろんどんな危険があるかは未知数だけど、それを検証するための掲示板なわけ。
「あるかないか分からない危険は論じなくてよい」というのはただの詭弁で、
「起こるかどうか分からない火事は予防しなくてよい」というのと同じこと。
根本的にセキュリティなんて不必要ということになってしまう。


>>421
コンパイルオプションで外せるものもあったはず。
一から作るよりはソースの修正やコンパイルオプションで対応した方が…。

>>422
SELinux さえ外せば安全というものでもないだろう。

>>423
一般論としてはそうだが、ここはSELinuxのスレだし。

もし暗黙裡に「SELinux以外にも不安要素はいくらでもある
（だからSELinuxの暗黒面は考慮しなくてもいい）」と言いたいなら、それは詭弁。
「ファイアウォールをいくら設定してもライフハックされたらそれまで。
だからファイアウォールなんて不要」とは言えるか？

本当にセキュリティ対策がしたいならSELinuxの暗黒面“も”
きちんと論じるのが当然。

だから具体的にコードのどこの部分に疑念があるかポインタで示してくれよ。

おまえらなんの具体性もないから検証すらできんだろ。

＞ポインタで示す
これがよく分からん。どのソースのどの行が、とか言わないか？　普通。

まあソースが公開されている以上、SELinuxが露骨にデータを抜いて
送信している可能性はさすがに低いだろうな。むしろあらゆるサーバアプリが
SELinuxにリンクしているっていう状況で、そのコアひとつ差し替えられたら
どれだけ危険か、とかの方が気になるんだが。

あとスマートフォンなどの端末にハード的なバックドアを組み込むにも、
あらゆるサーバアプリがあらかじめ特定のライブラリ
（それもユーザ特権に絡む強力なもの）にリンクしていれば簡単な気がする。

あと当然、そうしたサーバアプリの開発者達と、SELinuxの開発者(=NSA)が
メールでやり取りする中になっていたりしても不思議じゃない。

それ言い出したらlibcとか差し替えられたらヤバいでしょ

話がぼやっとしてんだよな。

論点ずらそうとしてるだけ