更新しないでかなり放置状態となっていました。。。 SELinuxに興味が出てきて、無謀にもstrictモードで動かしたくなりました。 ということで実験。 環境 今回の環境はこんな感じです。 OS:CentOS 5.3(5.0でインストール、yumで現在の最新版にアップデート) SELinux:enforcing, strictモード(挑戦) まずは… まずは普通にtargetedモードで動く事を確認することに。 環境をみてみる # uname -a Linux myhost 2.6.18-128.2.1.el5xen #1 SMP Tue Jul 14 07:49:50 EDT 2009 i686 i686 i386 GNU/Linux # cat /etc/redhat-release CentOS release 5.3 (Final)#Xenカーネルなのはご愛敬 SELinuxが有効
以前に記述した、SELinux・iptablesの無効化のCentOS 7での対応方法。 基本的にはちゃんと設定してあげるべきなのだが、検証でのみ利用する場合だと不要なときもあるので、その時のための対応。 1.SELinuxの無効化 SELinuxの無効化については、他のディストリビューションと変わらない。 まず、以下のコマンドでSELinuxの停止を行う。 setenforce 0 次に、以下のコマンドでSELinuxの設定ファイル「/etc/selinux/config」を編集し、OS起動時にSELinuxが無効となるように設定する。 sed -i.bak "/SELINUX/s/enforcing/disabled/g" /etc/selinux/config これで、SELinuxの無効化設定が完了した。 2.ファイアウォールの無効化 CentOS 7でファイアウォールを無効化する
audit2allowコマンドを使えば自動生成されるけど、いくつかの問題があるときに何度も実行してマージするのが面倒臭くて、audit.logを見ながらポリシー・モジュールを手書きしてたら、きもいって言われたけど、きもくないのを主張するために書きます。 環境は次の通り。 CentOS 6.2 MuninのMySQLプラグイン ( /usr/share/munin/plugins/mysql_ ) muninの mysql_ はinnodbの状態とかを収集してくれるプラグインで、実態は mysqladmin extended-status で取得できる情報を収集するものです。これをSELinuxを有効にしてると、次のようなエラーメッセージがログ ( /var/log/munin-node/munin-node.log ) に表示されます(一部のみ)。 2013/05/01-23:40:11
導入 SELinuxは、どのプロセスが、どのファイルやディレクトリに、どのような操作(読み取りや書き込み)ができるかを設定するLinuxの拡張機能です。 ネットワーク関連のデーモン(サービス)のみを管理するtargetedポリシーと、SELinuxの機能をフルに利用するstrictポリシーがあります。この項目の解説は、targetedで動作している場合を対象としています。sestatusコマンド実行結果のPolicy from config file:項目を見れば、現在どのポリシーが設定されているかわかります。1 SELinuxが無効になっていた場合 sestatusコマンド実行結果でSELinux status: disabledと表示されていた場合、SELinuxが無効になっています。 設定ファイルを編集し、ひとまずpermissiveモードに変更します。permissiveは、ポリシ
Fedora Core 2のSELinuxでは,主要なサーバー・アプリケーションに関する設定があらかじめ用意されているものの,デフォルト(初期設定)では権限の設定が不十分なことから,きちんと動作しないアプリケーションがある。これに対処するには,ユーザーが設定を追加する必要がある。今回は,初期設定が不十分なアプリケーションを動作させるための,最も簡単な設定追加方法を紹介する。 ポリシーのソース・ファイルをインストールする Fedora Core 2でSELinuxの動作を設定するには,ポリシーのソース・ファイルをインストールする必要がある。「checkpolicy-1.10-1.i386.rpm」と「policy-sources-1.11.3-3.noarch.rpm」というRPMパッケージをFedora Core 2のインストールCD,またはFedora Coreのサイトから入手し,次のよ
Linuxディストリビューションの「Fedora Core 5」からは,大幅に機能刷新された「SELinux」が組み込まれました。SELinuxは,Linux OSにセキュアOS機能を組み込めるソフトウエアです。Linux OSで使える代表的なセキュアOS機能として,注目を集めています。 本連載では,Fedora CoreでのSELinuxの機能や使い方を,これまでSELinuxを使ったことがない人に向けて,分かりやすく解説してしていきます。 第1回 SELinuxの基本的な仕組み 第2回 最新開発状況 第3回 Fedora Core 5で学ぶ新しいSELinux 第4回 ポリシーを編集せずに問題に対処する 第5回 タイプを変更してトラブルに対処する 第6回 ポリシー・ファイルの正体を知る 第7回 モジュール・パッケージを作成する 第8回 タイプを付与してより安全に設定する 第9回 リファ
SELinuxとは SELinuxはセキュリティ管理をしてくれるとても大事なモジュールですが、慣れていないとSELinuxによる強力なアクセス制限によってインストール作業や運用業務でつまづくことがあります。 本来であればSELinuxをマスターすることが必要ですが、緊急時にはSELinuxの機能を停止する方法が手っ取り早い解決策となります。今回はその停止方法のご紹介です。 SELinux入門 日本SELinuxユーザ会 http://www.selinux.gr.jp/ SELinux動作状態の確認 SELinuxの動作状況は getenforce コマンドを調べられます。 getenforceコマンドを実行すると、現在のSELinuxの動作状況が以下のように表示されます。 enforcing SELinux機能、アクセス制御が有効 permissive SElinuxは警告を出力するが、
Security-Enhanced Linux (SELinux) は、アメリカ国家安全保障局 (NSA) がGPL下で提供している、Linuxのカーネルに強制アクセス制御 (MAC) 機能を付加するモジュールの名称。名前から勘違いされることが多いが、Linuxディストリビューションの一つではない。 SELinuxは1992年、NSAが主体となってFlukeというOS上におけるMAC機能の研究のために開発された。MAC機能はセキュリティの高いOSの提供を可能にするが、主にMulti Level Securityと呼ばれる機能で提供されている。この機能では、アクセスする対象(サブジェクト)すべてに階層化された権限が与えられる一方、アクセスされる対象(オブジェクト)にもすべて階層化された情報の重要度に応じたラベルを付加する。このことによってアクセス制御を行うものだが、柔軟に実装するには複雑化し
はじめに 注意事項 この記事は何らかの理由でSELinuxを利用しなければならない時に発生する、意図せずプログラムが動かなくなる問題を解決するための手段を書いたものである。 作業対象のOSは作業中いつでも停止可能であるものとする。SELinuxの設定作業中に停止不可能とか無茶なので。 また、すべての操作はrootユーザで行っている。SELinuxは「管理者による強制的なアクセス制御」なのでrootユーザが操作しなければならない。 内容は主にCentOS 7で確認し、CentOS 6やFedora 22も一部確認に使用している。 SELinuxの管理で使用する各種のコマンドは初期からインストールされているものは少なく、またコマンド名がそれを含むrpmパッケージ名と一致しないものが多い。 このような場合はyum install *bin/<コマンド名>でインストールすることができる。Fedor
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く