タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
背景 本家のruncで実装されているSELinux機能が、Youki (Rustでruncを再実装するOSS)に実装されていないことがわかった。 そこで、SELinux機能をYoukiに導入することになったのだが、SELinux crateが無かったのでRustで再実装することになり、そのプロジェクトにアサインしてもらった。 しかし、SELinuxについて何も知らなかったので、SELiuxについて色々と調べたことをまとめた。 SELinuxとは何か? security-enhanced Linuxの略称。MAC制御を行うことができる。通常のセキュリティに加えてSELinuxを設定することで、システムセキュリティを更に強化できる。 Labelとpolicyを組み合わせたセキュリティ制御が特徴である。process・file・networkなどのobject、process・userなどのsu
RHEL9での変更点(セキュリティ編:Part1 SELinuxの無効化について) - SIOS SECURITY BLOG
SELinuxの変更SELinuxに関しては、主な変更点として SELinuxで/etc/selinux/configで「selinux=disabled」が効かなくなる(ハングすることがあります)パフォーマンスの向上が挙げられています。今回は一番最初の「selinux=disabled」が使えなくなる(システムがハングすることがある)というのを見ていきたいと思います。 当たり前ですが、筆者の見解/立場ではSELinuxは無効化するべきでは無いので、無効化する前に「待て、考え直せ」とは言いたいです。 SELinuxを無効にしたときのハングアップまずは事象を見てみたいと思います。/etc/selinux/configで SELINUX=enforcing を SELINUX=disabled に設定し、再起動を行います。すると(タイミングの問題だと思いますが)下記のようにブート中にシステムが
みなさん、こんにちは。えんピぐらしです。 Linuxでの構築経験がある方を対象としていますので、前回よりも少しレベルが高くなりますが、今回はSELinuxという機能について見ていきたいと思います。 Linuxの構築経験がある方は分かると思いますが、SELinuxは必ずと言っていいほど、「無効」にします。デフォルトで有効になっている機能なのですが、わざわざ無効にします。私は今までSELinuxを有効にしているシステムを見たことがありません。(周りにもいませんでした) 今回は、そんなSELinuxについてのお話です。 SELinuxとは? そもそもSELinuxとは何なのでしょうか。 Wikipediaでは、こう書かれています。 “SELinux(Security-Enhanced Linux : エスイーリナックス)は、アメリカ国家安全保障局がGPL下で提供しているLinuxのカーネルに強制
Ansible 検証「ansible.posix.selinux」モジュールで RHEL 9 の SELinux を無効化してはいけない ※2025/03 現在 | SIOS Tech Lab
RHEL 9 で SELinux を無効化するには grubby --update-kernel ALL --args selinux=0 コマンドを実行する必要があります。 上記コマンドを実行した場合、「/etc/default/grub」ファイルあるいは 「grubby –info=ALL」の実行結果に「selinux=0」という記述が追記されます。 現状では SELinux に関わる記述は特にありません RHEL 9 サーバの現状設定 : grub # cat /etc/default/grub GRUB_CMDLINE_LINUX="console=ttyS0,115200n8 console=tty0 net.ifnames=0 rd.blacklist=nouveau nvme_core.io_timeout=4294967295" GRUB_TIMEOUT=0 GRUB_EN
Introduction to SELinux
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
関連キーワード Linux | OS | 運用管理 | セキュリティ OS「Linux」は、複数のセキュリティモジュールを組み込んでいる。アクセス制御を実現するための代表的なセキュリティモジュールが「SELinux」(Security-Enhanced Linux)「AppArmor」だ。「Red Hat Enterprise Linux」(RHEL)およびその派生ディストリビューション(配布パッケージ)はSELinuxを、「Debian」およびその派生ディストリビューションはAppArmorを主に標準セキュリティモジュールとして採用している。両者には、それぞれどのような利点と欠点があるのか。 SELinuxの利点と欠点 併せて読みたいお薦め記事 連載:Linuxのセキュリティを比較 前編:Linuxを守る「SELinux」と「AppArmor」は何が違うのか? Linuxの運用管理 いま
SELinuxとは DACとMAC SELinuxをインストールする SELinuxの有効化・無効化 ApacheでSELinuxを試してみる SELinuxポリシー コンテキスト ファイルのラベリング Access Vectorルール ドメイン遷移 ポートのラベリング アトリビュート SELinuxブール値 RBAC(Role Based Access Control) MCS(Multi Category Security) MLS(Multi Level Security) サイレント拒否 ApacheでCGIを動かしてみる その他の解決 関連コマンド getenforce/setenforceコマンド sestatusコマンド ausearchコマンド audit2whyコマンド audit2allowコマンド seinfoコマンド sesearchコマンド chconコマンド f
SELinux/iptablesとApache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 セキュリティブログここでは、本件の脆弱性のPoCをSELinux/iptablesで保護できるかどうかを確認して考察したいと思います。 12/10/2021にApache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228)が公開され、引き続いてCVE-2021-45046や、log4jv1の脆弱性CVE-2021-4104, CVE-2021-42550 も出ており、攻撃も既に観測されています。さらに先程CVE-2021-45105(DoS)も出てます。セキュリティ界隈の方々や開発者、運用者含めてITエンジニアの方々は、先週から本件でかなり振り回されていると思
インストール実行: # dnf -y groupinstall "Development tools" 実行例: # dnf -y groupinstall "Development tools" '~ 中略 ~' Complete! パッケージ管理コマンド(dnf groupinstall): パッケージグループを一括インストール -yオプション: 確認応答を省略して自動実行 “Development tools”: gcc、make、autotools等の開発ツール群 インストールされたパッケージの確認 # dnf group info "Development tools" インストールされる主要ツール 開発ツールパッケージには以下のような開発に必要なツールが含まれます。 gcc: (GNU Compiler Collection)C/C++コンパイラ make: ビルドツール gi
日本のSier業界では除け者にされているSELinuxであるが、絶対SELinux無効にするなの人のブログによるとRHEL9におけるSELinuxが変更されるそうだ(security.sios.com)。/etc/selinux/configのSELINUX=enforcingをdisabledにして再起動を行うとブート中にシステムがハングアップするとのこと。対策としてはbootパラメータで"selinux=0"をつけると回避はできるが、RedHat側としては推奨していない。 業務影響のリスクでセキュリティパッチをあてることはNGとされていたのが近年見直されたように(今でもご法度のところはいるが)いずれSELinuxの無効化も許されなくなる時代になるのかもしれない。
2.5. SELinux の無効化 | SELinux の使用 | Red Hat Enterprise Linux | 8 | Red Hat Documentation
2.5. SELinux の無効化 SELinux を無効にすると、システムが SELinux ポリシーをロードしなくなります。その結果、システムは SELinux ポリシーを適用せず、Access Vector Cache (AVC) メッセージをログに記録しません。したがって、SELinux を実行する利点 はすべて失われます。 パフォーマンスが重視されるシステムなど、セキュリティーを弱めても重大なリスクが生じない特殊な状況を除き、SELinux を無効にしないでください。
SELinux In Linux 6.4 Removes Run-Time Disabling Support - Phoronix
SELinux In Linux 6.4 Removes Run-Time Disabling Support Written by Michael Larabel in Linux Security on 24 April 2023 at 08:30 AM EDT. 23 Comments After being deprecated for several years, Security Enhanced Linux "SELinux" beginning with the Linux 6.4 kernel can no longer be run-time disabled. For a while now SELinux deprecated run-time disabling for turning off SELinux via its config file or sysf
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
containerにおけるSELinuxの役割について - Gekko0114 備忘録
rootを越えろ!スルーされがちなSELinuxの秘密-前編-
Linuxの「SELinux」と「AppArmor」は結局どちらを選ぶべき?
とほほのSELinux入門 - とほほのWWW入門
SELinux無効化、開発ツールパッケージのインストール及びシステムアップデート自動化
RHEL9からSELinuxの無効化の仕様が変更される | スラド Linux
nobita1948.hatenablog.com
anond.hatelabo.jp
blog.domesoccer.jp
automaton-media.com
note.com/tatsuhiroiwamoto
mimoro.hatenablog.jp