タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
SELinuxとは DACとMAC SELinuxをインストールする SELinuxの有効化・無効化 ApacheでSELinuxを試してみる SELinuxポリシー コンテキスト ファイルのラベリング Access Vectorルール ドメイン遷移 ポートのラベリング アトリビュート SELinuxブール値 RBAC(Role Based Access Control) MCS(Multi Category Security) MLS(Multi Level Security) サイレント拒否 ApacheでCGIを動かしてみる その他の解決 関連コマンド getenforce/setenforceコマンド sestatusコマンド ausearchコマンド audit2whyコマンド audit2allowコマンド seinfoコマンド sesearchコマンド chconコマンド f
背景 本家のruncで実装されているSELinux機能が、Youki (Rustでruncを再実装するOSS)に実装されていないことがわかった。 そこで、SELinux機能をYoukiに導入することになったのだが、SELinux crateが無かったのでRustで再実装することになり、そのプロジェクトにアサインしてもらった。 しかし、SELinuxについて何も知らなかったので、SELiuxについて色々と調べたことをまとめた。 SELinuxとは何か? security-enhanced Linuxの略称。MAC制御を行うことができる。通常のセキュリティに加えてSELinuxを設定することで、システムセキュリティを更に強化できる。 Labelとpolicyを組み合わせたセキュリティ制御が特徴である。process・file・networkなどのobject、process・userなどのsu
SELinux を踏み台サーバに使ってみた話
これは ビットバンク株式会社 Advent Calendar 2020 の 17 日目の記事です。 はじめに 皆さん setenforce 1してますか? AWS エンジニアの koarakko です。 普段は DevOps や 統制周りの業務を担当しています。 今回は踏み台サーバでの SELinux 活用事例を交えながら実際にポリシー調査から実装までの方法を紹介したいと思います。 SELinux を本番利用している環境は少なく、貴重な経験ができたと自負しています。 この記事を読むことで SELinux の本番利用の一助になれば幸いです。 当社の踏み台の活用背景 踏み台サーバは本番アプリサーバにログインする場合に経由サーバとして利用しています。 OS は RHEL 8 で2台構成です。 当社では踏み台サーバを2年程度使っていますが、この間に踏み台サーバの置き換えもしています。 以前は am
RHEL9での変更点(セキュリティ編:Part1 SELinuxの無効化について) - SIOS SECURITY BLOG
SELinuxの変更SELinuxに関しては、主な変更点として SELinuxで/etc/selinux/configで「selinux=disabled」が効かなくなる(ハングすることがあります)パフォーマンスの向上が挙げられています。今回は一番最初の「selinux=disabled」が使えなくなる(システムがハングすることがある)というのを見ていきたいと思います。 当たり前ですが、筆者の見解/立場ではSELinuxは無効化するべきでは無いので、無効化する前に「待て、考え直せ」とは言いたいです。 SELinuxを無効にしたときのハングアップまずは事象を見てみたいと思います。/etc/selinux/configで SELINUX=enforcing を SELINUX=disabled に設定し、再起動を行います。すると(タイミングの問題だと思いますが)下記のようにブート中にシステムが
SELinuxコンテキストを確認する方法
SELinuxコンテキストの読み方 SELinuxコンテキストは「:(コロン)」で区切られた複数のフィールドからなるセキュリティラベルです。具体的に以下のようなものをSELinuxコンテキストと呼びます。 unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 system_u:object_r:shadow_t:s0 system_u:system_r:httpd:s0 SELinuxコンテキストは第一フィールドから順にユーザ、ロール、タイプ、セキュリティレベルで構成されます。 ユーザ プロセスやファイルなどに付与されるSELinux上のユーザID ロール ユーザに割り当てる権限の範囲を定義したもの ロールが不要なオブジェクト(ファイルやディレクトリなど)にはダミーロールobject_rが付与される タイプ SELinuxがアクセス可否
みなさん、こんにちは。えんピぐらしです。 Linuxでの構築経験がある方を対象としていますので、前回よりも少しレベルが高くなりますが、今回はSELinuxという機能について見ていきたいと思います。 Linuxの構築経験がある方は分かると思いますが、SELinuxは必ずと言っていいほど、「無効」にします。デフォルトで有効になっている機能なのですが、わざわざ無効にします。私は今までSELinuxを有効にしているシステムを見たことがありません。(周りにもいませんでした) 今回は、そんなSELinuxについてのお話です。 SELinuxとは? そもそもSELinuxとは何なのでしょうか。 Wikipediaでは、こう書かれています。 “SELinux(Security-Enhanced Linux : エスイーリナックス)は、アメリカ国家安全保障局がGPL下で提供しているLinuxのカーネルに強制
Ansible 検証「ansible.posix.selinux」モジュールで RHEL 9 の SELinux を無効化してはいけない ※2025/03 現在 | SIOS Tech. Lab
RHEL 9 で SELinux を無効化するには grubby --update-kernel ALL --args selinux=0 コマンドを実行する必要があります。 上記コマンドを実行した場合、「/etc/default/grub」ファイルあるいは 「grubby –info=ALL」の実行結果に「selinux=0」という記述が追記されます。 現状では SELinux に関わる記述は特にありません RHEL 9 サーバの現状設定 : grub # cat /etc/default/grub GRUB_CMDLINE_LINUX="console=ttyS0,115200n8 console=tty0 net.ifnames=0 rd.blacklist=nouveau nvme_core.io_timeout=4294967295" GRUB_TIMEOUT=0 GRUB_EN
Introduction to SELinux
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
関連キーワード Linux | OS | 運用管理 | セキュリティ OS「Linux」は、複数のセキュリティモジュールを組み込んでいる。アクセス制御を実現するための代表的なセキュリティモジュールが「SELinux」(Security-Enhanced Linux)「AppArmor」だ。「Red Hat Enterprise Linux」(RHEL)およびその派生ディストリビューション(配布パッケージ)はSELinuxを、「Debian」およびその派生ディストリビューションはAppArmorを主に標準セキュリティモジュールとして採用している。両者には、それぞれどのような利点と欠点があるのか。 SELinuxの利点と欠点 併せて読みたいお薦め記事 連載:Linuxのセキュリティを比較 前編:Linuxを守る「SELinux」と「AppArmor」は何が違うのか? Linuxの運用管理 いま
SELinuxとは DACとMAC SELinuxをインストールする SELinuxの有効化・無効化 ApacheでSELinuxを試してみる SELinuxポリシー コンテキスト ファイルのラベリング Access Vectorルール ドメイン遷移 ポートのラベリング アトリビュート SELinuxブール値 RBAC(Role Based Access Control) MCS(Multi Category Security) MLS(Multi Level Security) サイレント拒否 ApacheでCGIを動かしてみる その他の解決 関連コマンド getenforce/setenforceコマンド sestatusコマンド ausearchコマンド audit2whyコマンド audit2allowコマンド seinfoコマンド sesearchコマンド chconコマンド f
SELinux/iptablesとApache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 セキュリティブログここでは、本件の脆弱性のPoCをSELinux/iptablesで保護できるかどうかを確認して考察したいと思います。 12/10/2021にApache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228)が公開され、引き続いてCVE-2021-45046や、log4jv1の脆弱性CVE-2021-4104, CVE-2021-42550 も出ており、攻撃も既に観測されています。さらに先程CVE-2021-45105(DoS)も出てます。セキュリティ界隈の方々や開発者、運用者含めてITエンジニアの方々は、先週から本件でかなり振り回されていると思
日本のSier業界では除け者にされているSELinuxであるが、絶対SELinux無効にするなの人のブログによるとRHEL9におけるSELinuxが変更されるそうだ(security.sios.com)。/etc/selinux/configのSELINUX=enforcingをdisabledにして再起動を行うとブート中にシステムがハングアップするとのこと。対策としてはbootパラメータで"selinux=0"をつけると回避はできるが、RedHat側としては推奨していない。 業務影響のリスクでセキュリティパッチをあてることはNGとされていたのが近年見直されたように(今でもご法度のところはいるが)いずれSELinuxの無効化も許されなくなる時代になるのかもしれない。
SELinux (Security-Enhanced Linux) は、システムにアクセスできるユーザーを管理者がよりきめ細かく制御するための、Linux® システム向けセキュリティ・アーキテクチャです。もともとは、Linux Security Modules (LSM) を使用した Linux カーネルへの一連のパッチとして、アメリカ国家安全保障局 (NSA) によって開発されました。 SELinux は 2000 年にオープンソース・コミュニティにリリースされ、2003 年にアップストリームの Linux カーネルに統合されました。 SELinux 対応のオペレーティングシステムを無料で試す SELinux は、システム上のアプリケーション、プロセス、ファイルに対するアクセス制御を定義します。アクセス可能な範囲とそれ以外を指定した一連のルール (セキュリティポリシー) を使用することで
SELinux In Linux 6.4 Removes Run-Time Disabling Support - Phoronix
SELinux In Linux 6.4 Removes Run-Time Disabling Support Written by Michael Larabel in Linux Security on 24 April 2023 at 08:30 AM EDT. 23 Comments After being deprecated for several years, Security Enhanced Linux "SELinux" beginning with the Linux 6.4 kernel can no longer be run-time disabled. For a while now SELinux deprecated run-time disabling for turning off SELinux via its config file or sysf
2.5. SELinux の無効化 SELinux を無効にすると、システムが SELinux ポリシーをロードしなくなります。その結果、システムは SELinux ポリシーを適用せず、Access Vector Cache (AVC) メッセージをログに記録しません。したがって、SELinux を実行する利点 はすべて失われます。 パフォーマンスが重視されるシステムなど、セキュリティーを弱めても重大なリスクが生じない特殊な状況を除き、SELinux を無効にしないでください。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
とほほのSELinux入門 - とほほのWWW入門
containerにおけるSELinuxの役割について - Gekko0114 備忘録
rootを越えろ!スルーされがちなSELinuxの秘密-前編-
Linuxの「SELinux」と「AppArmor」は結局どちらを選ぶべき?
とほほのSELinux入門 - とほほのWWW入門
RHEL9からSELinuxの無効化の仕様が変更される | スラド Linux
SELinux とは?をわかりやすく解説 | Red Hat
2.5. SELinux の無効化 | Red Hat Product Documentation
zenn.dev
sweetsguide.jp
support.npe.fit
www.asahi.com
monoist.itmedia.co.jp
kanademono.design