2012年3月 9日

[jsosug:00179] Re:【質問】SElinuxのユーザにつきまして

石川さん

大岡です。

いえいえ、教えて頂いてありがとうございます。

rootユーザへの昇格によっても
変わってくることがよくわかりました。


お時間頂いてありがとうございます。
よろしくお願い致します。


On Fri, 9 Mar 2012 17:57:01 +0900
Hiroki Ishikawa <ishikawa84g@xxxxx> wrote:

> 大岡さん
>
> 石川です。
> すみません遅くなりました。。
>
> > すみません。起動方法としては、どちらも
> > /etc/init.d/named start で起動しています。
>
> それであれば、起動ユーザの権限に依存します。
>
>
> > 前に教えて頂きましたように、プロセスは
> > 起動したユーザの権限を引き継ぐということから
> > 正しい動きだったのかと思いますが、rootユーザへの
> > 昇格の仕方でも変わってくる形でしょうか。
>
> その通りです。
> user_u が su などで root に権限昇格した場合、その root は user_u を引き継ぎます。
> staff_u の場合は staff_u, unconfined_u の場合は unconfined_u となります。
> コンソールに直接アクセスした場合は "root" をとなります(設定依存)。
> ※ sudo -i は /etc/sudoers の設定によります。
>
>
>
> 2012年3月8日7:09 大岡 純 <j.ooka@xxxxx>:
> > 石川さん
> >
> > 大岡です。たびたびありがとうございます。
> >
> > すみません。起動方法としては、どちらも
> > /etc/init.d/named start で起動しています。
> >
> > 起動スクリプト内部で、下記を実行している形になります。
> >
> > /usr/sbin/named -u named -t /var/named/chroot
> >
> > いろいろ調べた結果、一般ユーザからsu - もしくは
> > sudo su - でroot になった後で起動スクリプトを叩くと
> > user_uになり、コンソールからrootでログインした後に
> > 起動スクリプトを叩くと、rootで起動するようでした。
> >
> > 前に教えて頂きましたように、プロセスは
> > 起動したユーザの権限を引き継ぐということから
> > 正しい動きだったのかと思いますが、rootユーザへの
> > 昇格の仕方でも変わってくる形でしょうか。
> >
> > よろしくお願いします。
> >
> >
> >
> > On Thu, 8 Mar 2012 01:08:04 +0900
> > Hiroki Ishikawa <ishikawa84g@xxxxx> wrote:
> >
> >> 大岡さん
> >>
> >> 石川です。
> >>
> >> > 他で同じように構築したDNSサーバは、プロセスが
> >> > root:system_r:named_tで起動しているので、SELinuxの設定に
> >> > 違いがあるのかと思い、質問した形になります。
> >>
> >> 2つの違いは起動スクリプトを使用しているかそうでないかです。
> >> 同じように構築をしているのだとは思いますが、起動方法が異なります。
> >> 起動スクリプトを使用しないのには理由があるのでしょうか。
> >>
> >> ちなみに、SELinux のユーザ設定は特に関係ありません。
> >>
> >>
> >> > user_uの権限になるほうが正しいのでしょうか。
> >>
> >> その手順で実行した場合は user_u になることが正しいですが、
> >> システム的には正しくないように思えます。
> >>
> >>
> >> 2012年3月7日9:28 大岡 純 <j.ooka@xxxxx>:
> >> > 石川さん
> >> >
> >> > 大岡です。
> >> > 教えていただき、ありがとうございます。
> >> > いろいろ説明不足で申し訳ありません。
> >> >
> >> > 下記のコマンドでnamedを実行しています。
> >> > /usr/sbin/named -u named -t /var/named/chroot
> >> >
> >> > # id named
> >> > uid=25(named) gid=25(named) 所属グループ=25(named) context=user_u:system_r:unconfined_t
> >> >
> >> > yumで入れたrpmのbindをそのまま使っている形になります。
> >> >
> >> > 他で同じように構築したDNSサーバは、プロセスが
> >> > root:system_r:named_tで起動しているので、SELinuxの設定に
> >> > 違いがあるのかと思い、質問した形になります。
> >> >
> >> > 起動したプロセスは起動したユーザの権限を引き継ぐことは
> >> > 理解しているのですが、namedユーザで起動させていることから
> >> > user_uの権限になるほうが正しいのでしょうか。
> >> >
> >> > よろしくお願いします。
> >> >
> >> >
> >> > On Tue, 6 Mar 2012 22:50:51 +0900
> >> > Hiroki Ishikawa <ishikawa84g@xxxxx> wrote:
> >> >
> >> >> 大岡さん
> >> >>
> >> >> 石川と申します。
> >> >>
> >> >> > user_u:system_r:named_t
> >> >> user_u を持った一般ユーザからプロセスを起動しているように見えます。
> >> >> sudo /etc/init.d/named start をしていませんか?
> >> >>
> >> >> ※ 起動したプロセスは起動したユーザの権限を引き継ぎます。
> >> >>
> >> >>
> >> >> > root:system_r:named_t
> >> >>
> >> >> と、したいのであれば root ユーザで
> >> >> /etc/init.d/named start をしてやれば目的のユーザで起動をします。
> >> >>
> >> >>
> >> >> ただし、通常、named のようなデーモンは init プロセスから
> >> >> 起動され ユーザには system_u を持ちます。
> >> >> システム管理者が手動で init スクリプトを起動する場合には
> >> >> init プロセスから見せかける必要があります。
> >> >>
> >> >> run_init(8) を使用することでそれが可能になります。
> >> >> run_init /etc/init.d/named start
> >> >>
> >> >>
> >> >> ではでは。
> >> >>
> >> >>
> >> >> 2012年3月6日21:42 大岡 純 <j.ooka@xxxxx>:
> >> >> > はじめまして
> >> >> >
> >> >> > 大岡と申します。
> >> >> >
> >> >> > SELinuxのユーザ設定について、質問したく
> >> >> > ご連絡しました。
> >> >> >
> >> >> > namedを動かしているのですが、プロセスのラベルが
> >> >> > 下記になってしまっています。
> >> >> >
> >> >> > user_u:system_r:named_t
> >> >> >
> >> >> > 私としては、下記にしたいのですが、どの設定を
> >> >> > 確認したらいいでしょうか。
> >> >> >
> >> >> > root:system_r:named_t
> >> >> >
> >> >> > semanage login -l の結果は、下記となっています。
> >> >> > Login Name SELinux User MLS/MCS Range
> >> >> >
> >> >> > __default__ user_u s0
> >> >> > root root SystemLow-SystemHigh
> >> >> >
> >> >> > ご教授頂ければと思います。
> >> >> > よろしくお願いします。
> >> >> >
> >> >> > _______________________________________________
> >> >> > Japan secure operating system users group
> >> >> > users-ml@xxxxx
> >> >> > http://lists.sourceforge.jp/mailman/listinfo/jsosug-users
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> Hiroki Ishikawa <ishikawa84g@xxxxx>
> >> >
> >>
> >>
> >>
> >> --
> >> Hiroki Ishikawa <ishikawa84g@xxxxx>
> >
> > *********************************************
> > 株式会社 サイバー・コミュニケーションズ
> > ADJUST事業本部 システム開発本部
> > ADJUST開発部 兼 広告技術部
> >
> >   大岡 純(Jun Ooka)
> >    E-mail:j.ooka@xxxxx
> >
> > 〒105-0021
> >  東京都港区東新橋2-14-1 コモディオ汐留8F
> > TEL:03-5405-4510 FAX:03-5425-6110
> > **************************************************
> >
>
>
>
> --
> Hiroki Ishikawa <ishikawa84g@xxxxx>

*********************************************
株式会社 サイバー・コミュニケーションズ
ADJUST事業本部 システム開発本部
ADJUST開発部 兼 広告技術部

 大岡 純(Jun Ooka)
   E-mail:j.ooka@xxxxx

〒105-0021 
東京都港区東新橋2-14-1 コモディオ汐留8F
TEL:03-5405-4510 FAX:03-5425-6110
**************************************************

_______________________________________________
Japan secure operating system users group
users-ml@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/jsosug-users


投稿者 xml-rpc : 2012年3月 9日 18:03
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/108797
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。