ファイル作成時に付与されるSELinuxのセキュリティコンテキスト - めもめも
SELinuxの簡単な説明 SELinuxでは、事前に定義された「セキュリティポリシー」に従って、あるプロセスがアクセス可能なシステムリソース(ファイル、ネットワークポートなど)を制限することが可能です。RHEL6のデフォルトである「Targetedポリシー」では、RHEL6同梱のアプリケーションについて、事前にいくつかの制限がかけられています。 たとえば、RHEL6同梱のhttpdを導入した状態で、下記のように「/var/www/html/」以下にコンテンツファイルを作成します。 # mkdir /var/www/html/pub # echo 'Hello World!' > /var/www/html/pub/index.htmlできたディレクトリやファイルの「セキュリティコンテキスト」を表示すると、「httpd_sys_content_t」というキーワードが見えます。(lsに「-Z
第2回 SELinuxモジュールの詳細
今回は、SELinuxモジュールのセキュリティチェック機能について説明しよう。SELinux独自のアクセス制御は、以下の3要素から構成されている。 ・強制アクセス制御(MAC:Mandatory Access Control) ・最小特権 TE(Type Enforcement) ドメイン遷移 RBAC(Role Base Access Control) ・監査ログ 強制アクセス制御 従来のLinuxのアクセス制御には、DAC(Discretionary Access Control:任意アクセス制御)が採用されている。DACは、リソースの所有者がアクセス権を制御できる仕組みで、所有者であればファイルなどのリソースに自由にアクセスできていた。 これに対しSELinuxでは、セキュリティ管理者が設定したアクセス制御ルールを、すべてのユーザー/プロセスに強制的に適用するMAC(Mandator
SELinux ポリシーモジュール作成
久々の更新になります。いろいろな技術に触れる機会が多いのに展開できなくて。。。 SELinuxの設定をしているときに、はまったことです。今後はまらないようにするためにも書きます。 あるサーバを見てみると、SELinuxのエラーが出力されておりました。 SELinuxのポリシーを追加して対応し、エラーは出力されないようになりましたが、動作しない。なぜだ… かなりはまったので、ポリシー追加と合わせてメモメモ〆(.. ) 原因は「dontaudit」でした。SELinuxの機能として、ログ出力抑止ルールがあります。 デフォルトではこの機能はonになっています。ルールにより許可されなかったアクセスは拒否されログに記録されるのですが、dontaudit ルールで定められたアクセスについてはアクセスが拒否されてもログに記録されないのです。 知らんかったわーw( ̄Д ̄;)w 以下のコマンドで機能をoff
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
