エラーメッセージからルールを生成するツールで、 audit2allow というのがあります これを使ってシスログから新しいポリシーを作成します 使い方 /var/log/message等、エラーログファイルを指定する # audit2allow -i /var/log/message -o ルール.te dmesgによる出力ログからルールを作成する # audit2allow -d -o ルール.te 以下の様にしてルールを追加します # cd /etc/selinux/targeted/src/policy # audit2allow -d /var/log/message -o ./domains/addRules.te # make reload これをエラーが出なくなるまで繰り返し行います でも、これで作られるルールだと確かにうまく動くようになるけど、与えてはいけない権限まで与えて
こんにちは。BoltzEngine 担当の伊藤です。 SELinux といえば Linux に強制アクセス制御(MAC)という機能を追加するモジュールで、Linux をより安全に運用することができる機能です。 Linux をインストールするとディストリビューションによっては最初から ON になっていて、一部のソフトウェアがこれが原因で動作しないとか、設定ファイルを外部からアップロードして上書きしたら読み込めなくなってプロセスが起動しなくなった…というようなつまづきをされる方が多いですし、実際自分自身もよくひっかかりました。SELinux で Google 検索すると、サジェストの一番頭が「無効」というワードが続いてしまいますし、検索して出てくる情報も無効にする方法の数が圧倒的に多い状態です。 しかし昨今様々な攻撃がある中、攻撃からの防御を考えて有効にして動かしたいですよね。今回は実際の S
SELinux ドキュメント(4章5章)をざっと読んで気になる点をまとめました。 ドキュメントの所在 Security Enhanced Linux SELinuxって? Linuxのセキュリティを強化する仕組みで、カーネルに追加される 米国国家安全保障局 (National Security Agency) が開発した SELinuxのセキュリティの仕組み プロセスとファイルの全てに、タイプでラベル付けを行う。 タイプはプロセスのドメインを定義しており、プロセスはドメイン毎に互いに分離している。 SELinuxポリシールールは、タイプに基づきプロセスがファイルと対話する方法とプロセス同士が対話する方法を定義する。 プロセスは、アクセスを許可するポリシールールが定義されている場合のみ、当該ファイル又はプロセスへアクセスできる。 セキュリティチェックのフロー Linuxの既存のアクセス管理(
SELinux is one of the most powerful security features in your Fedora system. It’s like a valet key for your computer services, only allowing them to access approved data. SELinux has outgrown its early-days reputation for difficulty. Now it has tunable policy for most popular applications, and provides extra security and confidence. However, sometimes errors do occur, and this article will help yo
前回、SELinuxのアクセス拒否が原因で起きる問題を、いくつかの事例を見ながら確認しました。今回はさらに進んで、SELinuxの機能により、新たにアプリケーションに特定のドメインを作成して制御する方法を紹介します。 SELinuxで新たにドメインを作成するにはいろいろな方法がありますが、一番簡単なのは「selinux-devel」のパッケージをインストールすることです。 ただし、このパッケージはDevパッケージで開発環境を提供するため、ポリシーの開発は開発用サーバーで行い、本番環境には出来上がったポリシーのみをコピーする方が安全に本番環境を運用できます。 以下、実例を使ってドメインの作成方法を見ていきましょう。 logstashのテスト環境を作る logの集中化と安全な保存は、運用管理の中でも(特に金融系など、官庁による査察などが入る場合には)重要なタスクになります。その中でも、logを
One of the daily activities of the CentOS Community Lead is searching the Internet looking for new and interesting content about CentOS that we can share on the @CentOSProject Twitter account, or Facebook, Google +, or Reddit. There's quite a bit of content out there, too, since CentOS is very popular. Unfortunately, some of the content gets unshared, based on one simple text search: "SELinux AND
Dockerは、SELinuxのタイプにsvirt_lxc_net_tラベルを設定し、コンテナ内のプロセスからホスト上のリソース間のアクセス制御を強固なものにしています。 また、KVM仮想マシンプロセスのsvirtの仕組みと同じく、コンテナ間の同一タイプ(svirt_lxc_net_t)を持つプロセスに対しては、MCS(Multi-Category Security)のカテゴリラベルによりアクセスの制限をしています。 今回のエントリーでは、SELinuxによるDockerリソースのアクセス制御と、内部でDockerを利用するOpenShift v3が、そのSELinuxをどう取り扱ってるのかを見ていきます。 MEMO: Fedora 22上の Docker1.8.2とRHEL7上のDocker1.7.1で確認しています。 $ docker -v Docker version 1.7.1,
はじめに 注意事項 この記事は何らかの理由でSELinuxを利用しなければならない時に発生する、意図せずプログラムが動かなくなる問題を解決するための手段を書いたものである。 作業対象のOSは作業中いつでも停止可能であるものとする。SELinuxの設定作業中に停止不可能とか無茶なので。 また、すべての操作はrootユーザで行っている。SELinuxは「管理者による強制的なアクセス制御」なのでrootユーザが操作しなければならない。 内容は主にCentOS 7で確認し、CentOS 6やFedora 22も一部確認に使用している。 SELinuxの管理で使用する各種のコマンドは初期からインストールされているものは少なく、またコマンド名がそれを含むrpmパッケージ名と一致しないものが多い。 このような場合はyum install *bin/<コマンド名>でインストールすることができる。Fedor
We are celebrating the SELinux 10th year anversary this year. Hard to believe it. SELinux was first introduced in Fedora Core 3 and later in Red Hat Enterprise Linux 4. For those who have never used SELinux, or would like an explanation... SElinux is a labeling system. Every process has a label. Every file/directory object in the operating system has a label. Even network ports, devices, and poten
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く