SELinux を使ったことがない、無条件反射でdisable している人に「ちょっと試してみようかな」と思ってもらうことを目標としたスライドです。 Internet Week 2017の講演で利用しました 更新はこちらで行います: https://speakerdeck.com/moriwaka/ming-ri-hazimeruselinux
SELinux を使ったことがない、無条件反射でdisable している人に「ちょっと試してみようかな」と思ってもらうことを目標としたスライドです。 Internet Week 2017の講演で利用しました 更新はこちらで行います: https://speakerdeck.com/moriwaka/ming-ri-hazimeruselinux
「IoT時代の最新SELinux入門」連載も今回が最後になります。連載の最後に、SELinuxの現在の開発の状況と、今後どのような方向に開発が進んでいくのかを過去の例から考えてみましょう。 SELinuxの現状の整理に関しては、毎年のLinux Security Summit(2017年9月に北米で開催される予定です)でまとまった資料がプレゼンテーションとして紹介されます。本記事の執筆時点(2017年7月)ではまだ資料がアップデートされていませんので、昨年の資料*1を参考にしながら、現時点での状態を見てみましょう。 SELinuxの根本であるTypeEnforcementモデルや強制アクセス制御など根幹部分は昔と全く変わっていません。それだけ、根本部分に関しては完成されたものであるといえます。現在はSELinuxのポリシーをより運用管理者が扱いやすくする方向や、SELinuxによって提供さ
この記事の目的 SELinux って邪魔者ですか? 「トラブルシュートの時に邪魔だから」「トラブルの元だから」とか言う理由で /etc/selinux/config で SELINUX=disable したり setenforce 0 したりしていませんか? SELinux は理解さえすればとても簡単です. 本番環境でファイアウォールと WAF の設定をして満足していないで SELinux を使いましょう. 対象 SELinux を初めて触る人向けです. 玄人の方は他へ... 本稿の範囲 本稿では SELinux を導入しておしまいです.あくまで「みんな,簡単だからね,使おうね!」と言いたいのです. 本当は SELinux の効果を示すために Exploit を仕込んだアプリケーションから root を取って不正にファイルに触るところまでやりたいのですが,これまた別の記事にします. 僕の願
はじめに 注意事項 この記事は何らかの理由でSELinuxを利用しなければならない時に発生する、意図せずプログラムが動かなくなる問題を解決するための手段を書いたものである。 作業対象のOSは作業中いつでも停止可能であるものとする。SELinuxの設定作業中に停止不可能とか無茶なので。 また、すべての操作はrootユーザで行っている。SELinuxは「管理者による強制的なアクセス制御」なのでrootユーザが操作しなければならない。 内容は主にCentOS 7で確認し、CentOS 6やFedora 22も一部確認に使用している。 SELinuxの管理で使用する各種のコマンドは初期からインストールされているものは少なく、またコマンド名がそれを含むrpmパッケージ名と一致しないものが多い。 このような場合はyum install *bin/<コマンド名>でインストールすることができる。Fedor
SELinuxは強制アクセス制御(MAC:Mandatory access control)とよばれる管理者による権限管理機能を提供する仕組みのひとつです。FISC(金融情報システムセンター)やNISC(内閣官房情報セキュリティセンター)などのガイドラインには強制アクセス制御に関する規定が存在し、もともとは政府の規定を満たすために作成されたのがSELinuxらしいです。 以上の説明やアットマークITのような経営者向けサイトを見ると、SELinuxは、いかにもコンサルタント様が導入を検討しそうな素晴らしい機能ですが、運用を行うのは至難の業です。 以下、私がSELinuxハンズオン – hbstudy #28に参加した時のメモを記します。何となく読んで頂きSELinuxの運用が如何に難しいかを悟って頂けると幸いです。なお、実務でのお役立ち度は期待しないでください。私がSELinuxを勉強して役
本日、Twitter(検索: SELinux) を以下のエントリが賑わせていました。SELinux無効化でカーネルパニック - CentOS6の備忘録内容に大きな誤りがありますが、コメントが書き込めないようなのでトラックバックを飛ばす形にします。ぱちさん(?) もしこれをご覧になっていましたら是非修正願います。尚、今回はあまりにも広まっていたようなので止むを得ずこういう形をとりました。誤っていることを晒すなどの意図はないことをご理解ください。 2012/03/12 追記参考にしましたという Blog が現れてしまいました…。こうして誤った情報が正しいかのように拡散されていきます。。いい夜には、いい別れを・・・ カーネルパニックなおったー コメントしようとしたところ禁止ワードがあると怒られてしまったのでとりあえず 誤っている箇所誤っている箇所は以下の2点です。 /etc/selinux/c
Apache ¤ÎÀßÄê † ¡¡°ìÈ̥桼¥¶¤Î¥¦¥§¥Ö¤ò¸ø³«¤¹¤ë¤Ë¤Ï Apache ¤ÎÀßÄê¥Õ¥¡¥¤¥ë¤Ç¤¢¤ë httpd.conf ¤ÎÄ´À°¡¢¥Ç¥£¥ì¥¯¥È¥ê¤ÎºîÀ®¤¬É¬ÍפǤ¹¡£²Ã¤¨¤Æ SELinux ¤ò͸ú¤Ë¤·¤Æ¤¤¤ë¾ì¹ç¡¢°ìÈ̥桼¥¶¤Î¥¦¥§¥Öɽ¼¨¤ò¹Ô¤¦¤È¤¤Ë¤ÏÃí°Õ¤¬É¬ÍפǤ¹¡£ ¡¡httpd.conf ¤Î 340 ¹ÔÌÜÁ°¸å¤ò½ñ¤´¹¤¨¤Þ¤¹¡£ <IfModule mod_userdir.c> # # UserDir is disabled by default since it can confirm the presence # of a username on the system (depending on
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く