SE (security enhanced) Linux

このエントリーをはてなブックマークに追加
380login:Penguin:2007/06/16(土) 21:03:04 ID:TVeCm9rc
seeditの*.deb版マダー?
381login:Penguin:2007/06/21(木) 19:27:53 ID:Li79wnCV
382login:Penguin:2007/06/30(土) 23:12:48 ID:k22DBsYL
>>381
> http://www.atmarkit.co.jp/fsecurity/rensai/selinux202/selinux01.html

でも、まだまだSELinuxって使いにくいよねぇ。
383login:Penguin:2007/07/04(水) 12:50:00 ID:53ILzz44
TOMOYO Linux と習合してくれることで
一年後ぐらいに使いやすくないっているに
1000000ペリカ
384login:Penguin:2007/07/07(土) 13:43:54 ID:gAah8Via
習合って……双方の開発主体を知ってて言ってる?

だいたい、そんなに学習機能が使いたいようなゆるい環境ならAppArmorを
使えばよい。SELinuxがなぜ学習モードのようなものを導入しないかは例えば
ttp://esashi.mobi/~matthew/wordpress/archives/80
ここいら見てみなよ。

あと、そのリンク先でも勧められてはいないけど、audit2allow もあるし。
385login:Penguin:2007/11/08(木) 02:31:23 ID:2bvNqaeb
SELinuxを有効化した導入は進んでますか?
386login:Penguin:2007/11/16(金) 03:49:29 ID:Mx9qhpa0
ubuntuでselinux入れてみた
動かない MLで揉めてるふいんきだw
少しつっこんだ事をやろうとするとなんか使いにくいなぁ
debian etchに変えてみる
動いたが、gnomeのnetworkmanagerでうまく機能してない
ブラウザがネットにつながらんよ ウーム
ぐぐってるとバグだらけのオカン
387login:Penguin:2007/11/16(金) 08:08:20 ID:ub3hseD8
>>386
ディストロに拘りがないなら Fedora にしてみたら?
今のところ、俺のところでは特に問題なく動いてるよ。
388login:Penguin:2007/11/17(土) 21:10:08 ID:67XJ07B1
>>387
networkmanagerに適切な権限が与えられてないと思いいろいろ見たけど、わからなかった
setroubleshoot 使ってみたが、dmesgのログ整形しただけなんだなぁ
結局Fedoraにするよw
TOMOYO linuxと比較してみるつもりで入れたけど、
やっぱり楽はさせてくれないな 茨の道はまだまだ続く
389login:Penguin:2007/12/28(金) 22:07:31 ID:XM+yOsqH
・kernelに権限昇格の脆弱性がある
・WEBアプリ(PHPやCGI)に脆弱性があって、ローカルアタックかけられる状態

この状況って
apacheのドメイン遷移を適切に設定してればrootへの権限昇格は防げるんでしょうか?
390login:Penguin:2008/01/02(水) 18:01:48 ID:uxhAJiRr
age
391login:Penguin:2008/01/13(日) 21:53:54 ID:8SqKnp92
help me

SELinuxを勉強したいんで頑張ってます。

MySQLは起動してるんですが(シェルから入れる)
apacheからphp_module経由でアクセスできません。
自分で試みたのは、
setsebool -P allow_user_mysql_connect=1
のみ。
他に何をやればいいのかすら見当すらつきません。。。。
392login:Penguin:2008/01/13(日) 21:57:28 ID:8SqKnp92
あ!httpd_can_network_connect_db=1にしたら接続できました!
お騒がせして申し訳ない。
393login:Penguin:2009/03/01(日) 12:10:06 ID:qMTRjR4D
ぬるぽ
394login:Penguin:2009/08/21(金) 00:31:37 ID:vWWwB5xm
>393
395login:Penguin:2009/08/21(金) 00:32:43 ID:vWWwB5xm
ぬるぽ
396login:Penguin:2009/12/07(月) 18:43:23 ID:OGpjrFHy
age
397login:Penguin:2010/05/01(土) 03:55:35 ID:JD7CTqnP
ume
398login:Penguin:2010/06/18(金) 17:52:29 ID:4PZCz8Ns
すっかり廃れてるスレみたいですが、seedit 公式フォーラムの方が死んでるようなので
質問させてください。

CentOS 5.5 に seedit をインストールしてみましたが、
設定後 audit.log を一旦削除 & 再起動して /var/log/audit/audit.log を見ると
seedit インストール前とまったく同じ denied が出てしまいます。
また、再度 audit2spdl を実行すると前回と同様の(既に追加済の)ポリシーが suggest されます。
# ポリシーの追加は各 .sp の最後の } の直前(つまりポリシーの末尾)に書き込み

あるいは、(例えば) seedit-template -d proftpd_t -e /usr/sbin/proftpd > proftpd_t.sp
などとやって新規のドメインを作成 & 適用 & 再起動後、
seedit-unconfined -e | grep proftpd してみると
xxxx proftpd Unconfined(initrc_t) と unconfined のまま。

ということで、ポリシーの変更がまったく反映されません。
マニュアル再読 & ぐぐってインストール事例など見てみても特に間違ってるように見えません
…が、何かを見落としてる or 勘違いをしているのだろうと思われます。
何をどうすればいいのか、ご指摘頂けると助かります。
399398:2010/06/18(金) 17:53:21 ID:4PZCz8Ns
ちなみに行ったインストール手順は以下の通りです。

(1)Permissive にする
(2)checkpolicy および setroubleshoot を yum でインストール
(3)seedit-2.2.0-1.cos5.i386.rpm および seedit-policy-2.2.0-1.cos5.i386.rpmをダウンロード
(4)rpm -ihv seedit*
(5)/usr/sbin/seedit-init
(6)reboot
(7)sestatus で Policy from config file: seedit になっていることを確認
(8)audit2spdl -al で suggest されたポリシーを /etc/seedit/policy 下の各ファイルに追加
(9)seedit-load
(10)reboot
400login:Penguin:2010/07/15(木) 13:39:37 ID:MeHwGS/A
401login:Penguin:2011/03/20(日) 16:36:55.90 ID:F5EWEsOm
保守
402 忍法帖【Lv=1,xxxP】 【東電 61.4 %】 :2011/06/04(土) 04:42:15.02 ID:ktq29VTb
# ls -Z /home/
drwx------. hoge hoge unconfined_u:object_r:user_home_dir_t:s0 hoge
drwx------. homu homu system_u:object_r:user_home_dir_t:s0 homu
この場合、上記のhoge,homuのどちらが正しいのでしょうか?
CentOS5.5では、user_uとなっていたような気もします
403 忍法帖【Lv=8,xxxP】 【東電 83.9 %】 :2012/01/30(月) 22:08:51.97 ID:rrkGKDo8
test
404login:Penguin:2012/03/20(火) 15:19:53.45 ID:IXaehMTV
405login:Penguin:2012/05/02(水) 23:49:00.41 ID:Q4+W5jiO
ちょっとおちつけ
406login:Penguin:2012/05/02(水) 23:49:04.93 ID:oE+9B6Fd
まぬけw
407 忍法帖【Lv=11,xxxPT】 【東電 76.0 %】 :2012/07/04(水) 13:02:57.75 ID:C55E9BCL
test
408login:Penguin:2012/09/26(水) 16:52:48.77 ID:dxwKWC8U
SEで始まってXで終わるものなーんだ?
409login:Penguin:2013/03/30(土) 14:30:37.80 ID:zUTuUrM8
SELinux開発者の一人から重要なメッセージ
ttp://www.youtube.com/watch?v=QJJm65xWtwY

RHELのクローンやめるかもしれんらしいぞ・・・
410login:Penguin:2013/03/30(土) 14:32:14.36 ID:O4GJMhOE
>>409
まあこういう考え方もあるからいいんじゃないか?
411login:Penguin:2013/10/25(金) 19:27:28.89 ID:gmvB6o68
SELinuxって今はどうなってるの?
AppAmor にみんなは乗り換えてるの?
それとも TOMOYO ?
412login:Penguin:2013/10/26(土) 04:06:51.65 ID:pVZL2Jjg
Fedoraではデフォで有効だから
それなりに使っている人はいるのではないかと
413login:Penguin:2013/10/26(土) 21:11:08.17 ID:CsTzt1Rv
Fedoraではデフォで有効だから
それを無効にしてる人が多数ではないかと
414login:Penguin:2013/10/26(土) 21:14:31.95 ID:aGYU+/C8
トモヨってもあるけど、OSではないだろ
415login:Penguin:2013/10/29(火) 18:08:55.91 ID:SW8Cukgh
>>1

SELinuxてNSA製だけど大丈夫なんかないろいろと


米帝NSA「海底ケーブル出口でデータ全部ぶっこ抜いて分析してた」
http://engawa.2ch.net/test/read.cgi/poverty/1382969585/
416login:Penguin:2013/10/29(火) 21:39:47.29 ID:cZcC9k2d
>>415
そういえば、たしかにNSA製だったな…
使うのは止めたほうがいいのかな?
417login:Penguin:2013/10/30(水) 08:46:45.22 ID:rECfpEAz
>>415
まったくsecureじゃない件w
今まで使ってたけどこれはトモヨさんに乗り換えるべきかなあ?
418login:Penguin:2013/10/30(水) 08:49:59.67 ID:sz9ilwYt
どうぞどうぞ。
419login:Penguin:2013/11/05(火) 22:40:35.01 ID:B9C1D+af
SELinuxの本体はcoreutilsなん?
これさえインストールしなければ大丈夫なのか、
あるいはlibとリンクしているだけでも危ないとなると、
殆どの大手サーバアプリはグレーということになり、相当厄介だぞ…。
420login:Penguin:2013/11/05(火) 23:49:04.55 ID:B2hfU4oc
>>419
ソース見て指摘してくれる?
421login:Penguin:2013/11/06(水) 00:39:50.02 ID:nonnr+x1
こりゃもう自作 OS しか使えないな。
422login:Penguin:2013/11/06(水) 15:15:50.43 ID:wLIzoaY1
RPMでもdebでもいいから試しにlibselinuxをアンインストールしようとしてみろ。
たくさんのパッケージ、それもサーバ用途のものほど
libselinuxとリンクしていることは、ソースを見なくても分かる。

もちろんどんな危険があるかは未知数だけど、それを検証するための掲示板なわけ。
「あるかないか分からない危険は論じなくてよい」というのはただの詭弁で、
「起こるかどうか分からない火事は予防しなくてよい」というのと同じこと。
根本的にセキュリティなんて不必要ということになってしまう。


>>421
コンパイルオプションで外せるものもあったはず。
一から作るよりはソースの修正やコンパイルオプションで対応した方が…。
423login:Penguin:2013/11/06(水) 15:16:51.10 ID:nonnr+x1
>>422
SELinux さえ外せば安全というものでもないだろう。
424login:Penguin:2013/11/08(金) 16:10:57.79 ID:+g4McZmJ
>>423
一般論としてはそうだが、ここはSELinuxのスレだし。

もし暗黙裡に「SELinux以外にも不安要素はいくらでもある
(だからSELinuxの暗黒面は考慮しなくてもいい)」と言いたいなら、それは詭弁。
「ファイアウォールをいくら設定してもライフハックされたらそれまで。
だからファイアウォールなんて不要」とは言えるか?

本当にセキュリティ対策がしたいならSELinuxの暗黒面“も”
きちんと論じるのが当然。
425login:Penguin:2013/11/08(金) 16:18:09.07 ID:7ArdgaAc
だから具体的にコードのどこの部分に疑念があるかポインタで示してくれよ。

おまえらなんの具体性もないから検証すらできんだろ。
426login:Penguin:2013/11/15(金) 05:57:38.36 ID:52DQq9Z5
>ポインタで示す
これがよく分からん。どのソースのどの行が、とか言わないか? 普通。

まあソースが公開されている以上、SELinuxが露骨にデータを抜いて
送信している可能性はさすがに低いだろうな。むしろあらゆるサーバアプリが
SELinuxにリンクしているっていう状況で、そのコアひとつ差し替えられたら
どれだけ危険か、とかの方が気になるんだが。

あとスマートフォンなどの端末にハード的なバックドアを組み込むにも、
あらゆるサーバアプリがあらかじめ特定のライブラリ
(それもユーザ特権に絡む強力なもの)にリンクしていれば簡単な気がする。

あと当然、そうしたサーバアプリの開発者達と、SELinuxの開発者(=NSA)が
メールでやり取りする中になっていたりしても不思議じゃない。
427login:Penguin:2013/11/15(金) 21:28:45.97 ID:7iPAbb7D
それ言い出したらlibcとか差し替えられたらヤバいでしょ
428login:Penguin:2013/11/15(金) 21:30:58.67 ID:LdW5QT0U
話がぼやっとしてんだよな。
429login:Penguin
論点ずらそうとしてるだけ