2012年3月 7日

[jsosug:00174] Re:【質問】SElinuxのユーザにつきまして

石川さん

大岡です。
教えていただき、ありがとうございます。
いろいろ説明不足で申し訳ありません。

下記のコマンドでnamedを実行しています。
/usr/sbin/named -u named -t /var/named/chroot


# id named
uid=25(named) gid=25(named) 所属グループ=25(named) context=user_u:system_r:unconfined_t

yumで入れたrpmのbindをそのまま使っている形になります。

他で同じように構築したDNSサーバは、プロセスが
root:system_r:named_tで起動しているので、SELinuxの設定に
違いがあるのかと思い、質問した形になります。

起動したプロセスは起動したユーザの権限を引き継ぐことは
理解しているのですが、namedユーザで起動させていることから
user_uの権限になるほうが正しいのでしょうか。

よろしくお願いします。


On Tue, 6 Mar 2012 22:50:51 +0900
Hiroki Ishikawa <ishikawa84g@xxxxx> wrote:

> 大岡さん
>
> 石川と申します。
>
> > user_u:system_r:named_t
> user_u を持った一般ユーザからプロセスを起動しているように見えます。
> sudo /etc/init.d/named start をしていませんか?
>
> ※ 起動したプロセスは起動したユーザの権限を引き継ぎます。
>
>
> > root:system_r:named_t
>
> と、したいのであれば root ユーザで
> /etc/init.d/named start をしてやれば目的のユーザで起動をします。
>
>
> ただし、通常、named のようなデーモンは init プロセスから
> 起動され ユーザには system_u を持ちます。
> システム管理者が手動で init スクリプトを起動する場合には
> init プロセスから見せかける必要があります。
>
> run_init(8) を使用することでそれが可能になります。
> run_init /etc/init.d/named start
>
>
> ではでは。
>
>
> 2012年3月6日21:42 大岡 純 <j.ooka@xxxxx>:
> > はじめまして
> >
> > 大岡と申します。
> >
> > SELinuxのユーザ設定について、質問したく
> > ご連絡しました。
> >
> > namedを動かしているのですが、プロセスのラベルが
> > 下記になってしまっています。
> >
> > user_u:system_r:named_t
> >
> > 私としては、下記にしたいのですが、どの設定を
> > 確認したらいいでしょうか。
> >
> > root:system_r:named_t
> >
> > semanage login -l の結果は、下記となっています。
> > Login Name SELinux User MLS/MCS Range
> >
> > __default__ user_u s0
> > root root SystemLow-SystemHigh
> >
> > ご教授頂ければと思います。
> > よろしくお願いします。
> >
> > _______________________________________________
> > Japan secure operating system users group
> > users-ml@xxxxx
> > http://lists.sourceforge.jp/mailman/listinfo/jsosug-users
>
>
>
> --
> Hiroki Ishikawa <ishikawa84g@xxxxx>

_______________________________________________
Japan secure operating system users group
users-ml@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/jsosug-users


投稿者 xml-rpc : 2012年3月 7日 09:28
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/108791
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。