2006年2月17日

[selinux-users:01422] Re: はじめまして、

面@LIDSの人です。

On Fri, Feb 17, 2006 at 11:21:38AM +0900, onbi_xyz@xxxxx wrote:
> 返答 ありがとうございます。
> メッセージ遅くなりました。m(_ _)m
> 現在も思考錯誤中ですが、だめなかんじです。(´ー`)

とりあえず、現在施行錯誤中の


・OSのバージョン
・カーネルのバージョン
・lidsのバージョン

を教えて頂けませんでしょうか?

というのも
>
> ちなみに設定は、佐藤さんが公開している『サーバのOSをセキ
> ュアに改造!』を元に、
> http://www.selinux.gr.jp/LIDS-JP/document/lids-1/nw06_web_lids_tde/main.html
> で、ノーガード状態です。
> # /sbin/lidsconf -Z
> # /sbin/lidsconf -Z BOOT
> # /sbin/lidsconf -Z POSTBOOT
> # /sbin/lidsconf -Z SHUTDOWN
> # for f in /etc/lids/*.cap ; do sed -i 's/^-/+/' $f ; done
> # ( echo ; echo "/sbin/lidsconf -U POSTBOOT" ; echo
> "/sbin/lidsadm -I" ) >> /etc/rc.d/rc.local
>
> また、成果が現れましたら投稿したいと思います。

ここが気になったのですが、LIDSには
lids-1系(2.4カーネル用): lids-1.2.2-2.4.31-sk(非公式)が最新
lids-2系(2.6カーネル用): lids-2.2.2-2.6.14が最新
の二つがあります。佐藤さんの記事はlids-1系になりまして、rpmで公開している
lidsに関してはlids-2系しか公開していないはずです。
#非公式には作ってたりしますが:-p

で、lids-1系とlids-2系での違いは色々あるのですが、その中でも
lids-1系: ACL設定でOK(lidsは*.conf, *.capを設定として読む)
lids-2系:ACL設定後に"lidsconf -C"コマンドが必須(lidsは*.aclを読む)

という違いがあります。
lids-2系に関しての情報は
http://itpro.nikkeibp.co.jp/members/ITPro/oss/20040506/1/
の連載にまとめています。

>
> あと、また質問ですがLIDSのkernel のオプションについては
> 、rpmでLIDSを入れる場合、すべては含まれていない感じがす
> るのですが、rpmで導入後、再コンパイルが必要なのでしょう
> か?すみませんが、ご存知の方教えてください

lids-2系になると、lids-1系よりもkernelのオプションが少なくなっています。
#LSMに対応させたため、実質的に退化している部分です。

そういった意味では、佐藤さんの記事どおりのオプションを使いたい場合には、
lids-1系列(ディストリビューションとしても2.4カーネル前提)を選択する
必要があります。

> --- Kazuki Omo からのメッセージ:
> > 面@LIDSの人です。
> >
> > 良くハマるケースですが、
> >
> > 1. lidsadmが/etc/lidsに対して読み込みの権限を
> > 持っていない場合
> >
> > 2.
> > lidsadmが/procに書き込み権限を持っていない場合(これは
> 、違う
> > エラーメッセージが出そうな気がしますが)
> >
> > 3.
> > lidsadmを使用する前にSHA256のモジュールを読み込む事が
> 出来ない
> >
> (カーネルソースでsha256=yにするか、BOOTステートでmodprobe
> > sha256で
> > モジュールを読み込ませて上げる必要があるが、ACLで許可
> されていない)
> >
> > に、同様の現象が起こることがあります。
> >
> > lidsconf -L
> > lidsconf -L BOOT
> > lidsconf -L POSTBOOT
> > lidsconf -L SHUTDOWN
> >
> > の結果と、/etc/lids/lids.*.capファイルを見せて頂ければ
> > もう少し情報が出せるかも知れません。
> >
> > 宜しくお願いします。
> >
> > On Tue, Feb 14, 2006 at 09:11:49PM +0900,
> > onbi_xyz@xxxxx wrote:
> > > はじめまして井出といいます。
> > >
> > >
> >  今、セキュアOSを利用してみようとLIDSをつかって、いろ
> い
> > >
> > ろな方の資料を基にLIDS環境を構築しているのですが、LFS
> の
> > > 切替がどーしてもうまくいきません。
> > >
> > LIDS-JPで公開されているCent-OSのrpmや、カーネルを1から
> 構
> > >
> > 築していったりして、アクセス制御などはできるようになり
> ま
> > >
> > した。おかげで、カーネルの設定初歩を覚えることができま
> し
> > > た。(;;--)|
> > >
> >  そんなこんなで1,2週間経過しており、くもの糸でもつか
> み
> > > たい思いで投稿しました。
> > >
> >  カーネルは、2.6系、LIDSもそれに対応したものを使用し
> て
> > > おります。
> > > lidstoolですが
> > > rpmのときは、インストール後lidsconf -Pで設定。
> > > ソースのときは、インストール時に設定しました。
> > >
> > > # lidsadm -S -- -LIDS
> > > SWITCH
> > > enter password:
> > > LIDS:lidsadm (dev 3:2 inode 2171889) pid 2161 ppid
> > 2101
> > > uid/gid (0/0) on (tty1):Give incorrect password
> > (try #1)
> > > with caps=0x3684ce7f and flags=0x21 - logging
> > disabled for
> > > 60s
> > > No global capabilities have changed.
> > > Switching LIDS failed
> > >
> > > どなたか、くもの糸を垂らしていただければ幸いです。
> > > よろしくお願いします。m(_ _)m
> > >
> > > --------------------------------------
> > > GANBARE! NIPPON!
> > > Yahoo! JAPAN JOC OFFICIAL INTERNET PORTAL SITE
> > PARTNER
> > > http://pr.mail.yahoo.co.jp/ganbare-nippon/
> > >
> > >
> >
> > --
> > Kazuki Omo: omok@xxxxx
> > LIDS Japanese Information:
> > Japanese:
> > http://www.selinux.gr.jp/LIDS-JP/index.html
> > English:
> > http://www.selinux.gr.jp/LIDS-JP/LIDS_en/index.html
> >
> >
>
>
> --------------------------------------
> GANBARE! NIPPON!
> Yahoo! JAPAN JOC OFFICIAL INTERNET PORTAL SITE PARTNER
> http://pr.mail.yahoo.co.jp/ganbare-nippon/
>
>

--
Kazuki Omo: omok@xxxxx
LIDS Japanese Information:
Japanese: http://www.selinux.gr.jp/LIDS-JP/index.html
English: http://www.selinux.gr.jp/LIDS-JP/LIDS_en/index.html

投稿者 xml-rpc : 2006年2月17日 12:04
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/31806
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。