2009年6月 3日

[jsosug:00092] Re:CentOS-5.3 にて SSH ログインとローカルログインでSELinuxの権限を分けることは可能でしょうか

睦月です。


> 正確には以下のエントリになります
> /etc/selinux/targeted/contexts/users/<SELinuxユーザ名>
>
> SELinuxユーザ名とは、unconfined_u や user_u といったものですね。
> CentOS 5.3 の場合、root のみが定義されているようです。


うろ覚えですみません。
root しかないため、実はこの時点で途方に暮れていました。


> もし /etc/selinux/targeted/contexts/users/* 以下にマッチするエントリーがない場合、
> /etc/selinux/targeted/contexts/default_contexts の設定が使われます。

(snip)

> 最近の Fedora では、デフォルトで staff_t とか user_t といった、制限つきの
> ログインシェル用のドメインが定義されているのですが、CentOS 5.3 だと、
> いかんせん、ベースになっているセキュリティポリシーが古く、一筋縄では
> いってくれません。
> (Fedora5 とか 6 の時代ですからねぇ…。)

ここまでは理解できた・・・と思います。


> まず、sshd が unconfined_t ドメインで動作しています。
> --------
> [kaigai@xxxxx ~]$ ps -AZ
> :
> system_u:system_r:local_login_t:SystemLow-SystemHigh 3195 ? 00:00:00 login
> :
> system_u:system_r:unconfined_t:SystemLow-SystemHigh 4174 ? 00:00:00 sshd
> :
> --------
> ただ、ローカルのログインは local_login_t で動作しているので、
> 上記の設定ファイルで「system_r:local_login_t:s0-s0:c0.c1023」のエントリと、
> 「system_r:unconfined_t:s0-s0:c0.c1023」のエントリを分けて記述する事が
> できるでしょう。

ここがいまいち理解できていないのですが、local_login_t で起動したシェルな
どのドメインを unconfined_t から local_login_t に変更することにより、
SSHD によるログイン(unconfined_t)と区別させる。ということでよろしかっ
たでしょうか。

デフォルトではローカルログインしたシェルもリモートログインしたシェルも
unconfined_t で動いていますよね?


> もう一つ困った事は、標準のポリシーに staff_t や user_t などの、制限つき
> ログインシェル用のドメインが定義されていないという事です。(ノ∀`)

うーん、わかっていたつもりでしたが、やはり CentOS (RHEL)は枯れたものを
使用するポリシーなのですね。かといって Fedora でサービスを安定運用させる
自信がないので、悩むところです。


> ですので、手順としては以下のようになるかと思いますが、もう少しポリシー等
> 調査してリーズナブルな設定方法を後日紹介したいと思います。
>
> 1. /usr/share/selinux/devel/include/system/userdomain.if で定義されている
> テンプレート等を利用して、制限つきシェル用のドメインを作成する。
> (仮に staff_t とします)
> 2. 上記のポリシーをモジュールとして作成し、これをインストールします。
> (モジュールの作成/ビルド方法のメモも必要ですね)
> 3. /etc/selinux/targeted/contexts/users/user_u に、sshd経由でログインした
> 場合に、シェルに staff_t を割り当てる設定を記述する。

すみません、お手数お掛けします。このようなアプローチができるのですね。
ここら辺になると全くついて行けていませんが、とりあえず
selinux-policy-devel パッケージの存在に気づけただけでも質問した甲斐があ
りました。色々と眺めてみたいと思います。


> というわけで、後日、メモを作成してユーザ会の wiki にでも掲載する事にします。
> しばらくお待ちください。

本当にお手数をお掛けします。
宿題なのに結局海外さんにお任せするようなことになってしまって申し訳ない反
面、カスタマイズ例を楽しみにしています。


--
睦月 <mutsuki@xxxxx>

_______________________________________________
Japan secure operating system users group
users-ml@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/jsosug-users


投稿者 xml-rpc : 2009年6月 3日 01:24
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/85604
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。