RHEL9での変更点(セキュリティ編:Part1 SELinuxの無効化について) - SIOS SECURITY BLOG
SELinuxの変更SELinuxに関しては、主な変更点として SELinuxで/etc/selinux/configで「selinux=disabled」が効かなくなる(ハングすることがあります)パフォーマンスの向上が挙げられています。今回は一番最初の「selinux=disabled」が使えなくなる(システムがハングすることがある)というのを見ていきたいと思います。 当たり前ですが、筆者の見解/立場ではSELinuxは無効化するべきでは無いので、無効化する前に「待て、考え直せ」とは言いたいです。 SELinuxを無効にしたときのハングアップまずは事象を見てみたいと思います。/etc/selinux/configで SELINUX=enforcing を SELINUX=disabled に設定し、再起動を行います。すると(タイミングの問題だと思いますが)下記のようにブート中にシステムが
Linuxプロセスアクセス制御の概要 - えんでぃの技術ブログ
SELinuxシリーズ 本記事は、SELinuxシリーズの1記事目です。 Linuxプロセスアクセス制御の概要 ←今ココ SELinuxの概要 SELinux Type Enforcement SELinuxの実践 (参考) SELinuxのRBAC、UBAC、MLS、MCS (参考) SELinux Module Policyのソースコード読解、ビルド 参考URL 1〜3記事目は、4記事目を理解するための前提知識をカバーしています。 4記事目が最も重要で、SELinuxの具体的な操作方法やコマンド、トラブルシューティング手順を紹介しています。 5記事目以降は参考情報です。 SELinuxの関連記事は、SELinuxタグから探せます。 一連の記事はFedora環境を前提として書いています。 FedoraやRHELに類するディストリビューションであればほぼ同等の挙動になると思いますが、他のデ
「SELinuxのせいで動かない」撲滅ガイド - Qiita
はじめに 注意事項 この記事は何らかの理由でSELinuxを利用しなければならない時に発生する、意図せずプログラムが動かなくなる問題を解決するための手段を書いたものである。 作業対象のOSは作業中いつでも停止可能であるものとする。SELinuxの設定作業中に停止不可能とか無茶なので。 また、すべての操作はrootユーザで行っている。SELinuxは「管理者による強制的なアクセス制御」なのでrootユーザが操作しなければならない。 内容は主にCentOS 7で確認し、CentOS 6やFedora 22も一部確認に使用している。 SELinuxの管理で使用する各種のコマンドは初期からインストールされているものは少なく、またコマンド名がそれを含むrpmパッケージ名と一致しないものが多い。 このような場合はyum install *bin/<コマンド名>でインストールすることができる。Fedor
CentOS6.7 64bit SELinuxによるアクセス制御
当サイトでCentOS6.7 64bitへのインストール方法を紹介しているパッケージに関するSELinuxの設定を、以下に示します。 ※CentOS7 64bitをご使用の場合は、当サイトのCentOS7 64bit SELinuxによるアクセス制御のページをご覧ください。 尚、ここではSELinuxの設定ファイル「/etc/selinux/config」で、ポリシーの設定を「SELINUXTYPE=targeted」とした状態でのSELinuxの動作を元にしています。 ※「targeted」は、デフォルトの設定となります。他に「mls」が指定可能となっています。 ここでは、Apacheからのファイルの読み込みを許可する場合を元に、ディレクトリに設定されているSELinuxのコンテキストについて説明していきます。 Apacheから外部のデータベースへのアクセスを許可する場合等、SELinu
SELinuxの無効化方法 設定方法 使い方について
SELinuxは強制アクセス制御(MAC:Mandatory access control)とよばれる管理者による権限管理機能を提供する仕組みのひとつです。FISC(金融情報システムセンター)やNISC(内閣官房情報セキュリティセンター)などのガイドラインには強制アクセス制御に関する規定が存在し、もともとは政府の規定を満たすために作成されたのがSELinuxらしいです。 以上の説明やアットマークITのような経営者向けサイトを見ると、SELinuxは、いかにもコンサルタント様が導入を検討しそうな素晴らしい機能ですが、運用を行うのは至難の業です。 以下、私がSELinuxハンズオン – hbstudy #28に参加した時のメモを記します。何となく読んで頂きSELinuxの運用が如何に難しいかを悟って頂けると幸いです。なお、実務でのお役立ち度は期待しないでください。私がSELinuxを勉強して役
Kernel panic – not syncing: Attempted to kill init! | とりあえずノートがわりに書いてます
SELinuxを無効にしたらカーネルパニック CentOS6環境でSELinuxを有効にした場合と無効にした場合の動きの違いについてチェックしようと2つの環境を作ろうと作業を始めた。SELinuxをdisabledにするため/etc/sysconfig/selinixファイルの中の設定をdisabledにしてリブートする… なんとブートしようとして”Kernel panic – not syncing: Attempted to kill init!”というメッセージが出てブート途中で停止。あらーって感じ。調べるとブートの時にenforcing=0というパラメータが必要だそうだ。grubの設定ファイルに書けばいいのだが、その前にカーネルが立ち上がらない。 つまり、現在のブートパラメータにenforcing=0をつけて立ち上げなければならない。あちこちのサイトにgrubのコマンドラインに手で
ファイル作成時に付与されるSELinuxのセキュリティコンテキスト - めもめも
SELinuxの簡単な説明 SELinuxでは、事前に定義された「セキュリティポリシー」に従って、あるプロセスがアクセス可能なシステムリソース(ファイル、ネットワークポートなど)を制限することが可能です。RHEL6のデフォルトである「Targetedポリシー」では、RHEL6同梱のアプリケーションについて、事前にいくつかの制限がかけられています。 たとえば、RHEL6同梱のhttpdを導入した状態で、下記のように「/var/www/html/」以下にコンテンツファイルを作成します。 # mkdir /var/www/html/pub # echo 'Hello World!' > /var/www/html/pub/index.htmlできたディレクトリやファイルの「セキュリティコンテキスト」を表示すると、「httpd_sys_content_t」というキーワードが見えます。(lsに「-Z
PostgreSQL and SELinux - 気の向くままに・・・
PostgreSQLでデフォルトのデータファイル保管ディレクトリ(/var/lib/pgsql/data)以外を使用していたり、デフォルトのポート番号(5432)以外を使用していたりする場合、PostgreSQLの自動起動に失敗してしまう場合があるようです。 pgstartup.log を確認してみると、 postmasterはサーバ設定ファイル"/somedirectory/data/postgresql.conf"にアクセスできません: 許可がありません というメッセージが。 どうも、これまた、SELinuxの設定に起因するものでした。CentOS で PostgreSQL を使ってみよう!(3) の内容を参考に、設定変更。 semanageコマンドを使用して、対象となるディレクトリのタイプを postgresql_db_t に変更。 # semanage fcontext -a -t
[指摘] 「SELinux無効化でカーネルパニック - CentOS6の備忘録」に対する指摘 - やったるでぇ
本日、Twitter(検索: SELinux) を以下のエントリが賑わせていました。SELinux無効化でカーネルパニック - CentOS6の備忘録内容に大きな誤りがありますが、コメントが書き込めないようなのでトラックバックを飛ばす形にします。ぱちさん(?) もしこれをご覧になっていましたら是非修正願います。尚、今回はあまりにも広まっていたようなので止むを得ずこういう形をとりました。誤っていることを晒すなどの意図はないことをご理解ください。 2012/03/12 追記参考にしましたという Blog が現れてしまいました…。こうして誤った情報が正しいかのように拡散されていきます。。いい夜には、いい別れを・・・ カーネルパニックなおったー コメントしようとしたところ禁止ワードがあると怒られてしまったのでとりあえず 誤っている箇所誤っている箇所は以下の2点です。 /etc/selinux/c
私が SELinux を無効にしない理由 - やったるでぇ
タイトルは煽りです。ただの雑記です。笑何で無効にしないの?と聞かれて書くことになりました。(読んでもいいことないですw)実はよくわかりません。気が付いたら SELinux を触るようになってそこからは不要な時以外無効にしていません。なんででしょね?多分意地ですw そもそもなぜ SELinux をやり始めたのかなぜ SELinux をやりはじめたのかと聞かれたことがありますが、はっきりとは覚えてません。初めて SELinux にハメられたのは2005年くらいに CentOS の4 を使って授業の準備をしていた時だった気がします。SELinux が原因とわかり、いつかコイツをモノにしてやると思ったのを覚えています。その後はオライリーの SELinux 本を買ってちょこちょこと勉強をしていました。当時はポリシーを書き換える場合、再コンパイルをしないといけなかったのでほとんど触っていませんでしたが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
明日はじめるSELinux