2006年2月17日

[selinux-users:01423] Re: はじめまして、

面@付加情報です。

> ここが気になったのですが、LIDSには
> lids-1系(2.4カーネル用): lids-1.2.2-2.4.31-sk(非公式)が最新
> lids-2系(2.6カーネル用): lids-2.2.2-2.6.14が最新
> の二つがあります。佐藤さんの記事はlids-1系になりまして、rpmで公開している

lidstoolsも、それぞれの系統で独立です。lids-1系には、lids-1系のソースに

同梱されているlidstools、lids-2系にはlids-2系用のlidstoolsを使う
必要があります。

ですので、lidstools-2.2.7(lids-2系用)をrpmで入れて、ソースで入れた
2.4カーネルにlids-1.2.2パッチを当ててシステムを起動しても、
lidsを正しく設定する事は出来ません。

On Fri, Feb 17, 2006 at 12:04:37PM +0900, Kazuki Omo wrote:
> 面@LIDSの人です。
>
> On Fri, Feb 17, 2006 at 11:21:38AM +0900, onbi_xyz@xxxxx wrote:
> > 返答 ありがとうございます。
> > メッセージ遅くなりました。m(_ _)m
> > 現在も思考錯誤中ですが、だめなかんじです。(´ー`)
>
> とりあえず、現在施行錯誤中の
>
> ・OSのバージョン
> ・カーネルのバージョン
> ・lidsのバージョン
>
> を教えて頂けませんでしょうか?
>
> というのも
> >
> > ちなみに設定は、佐藤さんが公開している『サーバのOSをセキ
> > ュアに改造!』を元に、
> > http://www.selinux.gr.jp/LIDS-JP/document/lids-1/nw06_web_lids_tde/main.html
> > で、ノーガード状態です。
> > # /sbin/lidsconf -Z
> > # /sbin/lidsconf -Z BOOT
> > # /sbin/lidsconf -Z POSTBOOT
> > # /sbin/lidsconf -Z SHUTDOWN
> > # for f in /etc/lids/*.cap ; do sed -i 's/^-/+/' $f ; done
> > # ( echo ; echo "/sbin/lidsconf -U POSTBOOT" ; echo
> > "/sbin/lidsadm -I" ) >> /etc/rc.d/rc.local
> >
> > また、成果が現れましたら投稿したいと思います。
>
> ここが気になったのですが、LIDSには
> lids-1系(2.4カーネル用): lids-1.2.2-2.4.31-sk(非公式)が最新
> lids-2系(2.6カーネル用): lids-2.2.2-2.6.14が最新
> の二つがあります。佐藤さんの記事はlids-1系になりまして、rpmで公開している
> lidsに関してはlids-2系しか公開していないはずです。
> #非公式には作ってたりしますが:-p
>
> で、lids-1系とlids-2系での違いは色々あるのですが、その中でも
> lids-1系: ACL設定でOK(lidsは*.conf, *.capを設定として読む)
> lids-2系:ACL設定後に"lidsconf -C"コマンドが必須(lidsは*.aclを読む)
>
> という違いがあります。
> lids-2系に関しての情報は
> http://itpro.nikkeibp.co.jp/members/ITPro/oss/20040506/1/
> の連載にまとめています。
>
> >
> > あと、また質問ですがLIDSのkernel のオプションについては
> > 、rpmでLIDSを入れる場合、すべては含まれていない感じがす
> > るのですが、rpmで導入後、再コンパイルが必要なのでしょう
> > か?すみませんが、ご存知の方教えてください
>
> lids-2系になると、lids-1系よりもkernelのオプションが少なくなっています。
> #LSMに対応させたため、実質的に退化している部分です。
>
> そういった意味では、佐藤さんの記事どおりのオプションを使いたい場合には、
> lids-1系列(ディストリビューションとしても2.4カーネル前提)を選択する
> 必要があります。
>
> > --- Kazuki Omo からのメッセージ:
> > > 面@LIDSの人です。
> > >
> > > 良くハマるケースですが、
> > >
> > > 1. lidsadmが/etc/lidsに対して読み込みの権限を
> > > 持っていない場合
> > >
> > > 2.
> > > lidsadmが/procに書き込み権限を持っていない場合(これは
> > 、違う
> > > エラーメッセージが出そうな気がしますが)
> > >
> > > 3.
> > > lidsadmを使用する前にSHA256のモジュールを読み込む事が
> > 出来ない
> > >
> > (カーネルソースでsha256=yにするか、BOOTステートでmodprobe
> > > sha256で
> > > モジュールを読み込ませて上げる必要があるが、ACLで許可
> > されていない)
> > >
> > > に、同様の現象が起こることがあります。
> > >
> > > lidsconf -L
> > > lidsconf -L BOOT
> > > lidsconf -L POSTBOOT
> > > lidsconf -L SHUTDOWN
> > >
> > > の結果と、/etc/lids/lids.*.capファイルを見せて頂ければ
> > > もう少し情報が出せるかも知れません。
> > >
> > > 宜しくお願いします。
> > >
> > > On Tue, Feb 14, 2006 at 09:11:49PM +0900,
> > > onbi_xyz@xxxxx wrote:
> > > > はじめまして井出といいます。
> > > >
> > > >
> > >  今、セキュアOSを利用してみようとLIDSをつかって、いろ
> > い
> > > >
> > > ろな方の資料を基にLIDS環境を構築しているのですが、LFS
> > の
> > > > 切替がどーしてもうまくいきません。
> > > >
> > > LIDS-JPで公開されているCent-OSのrpmや、カーネルを1から
> > 構
> > > >
> > > 築していったりして、アクセス制御などはできるようになり
> > ま
> > > >
> > > した。おかげで、カーネルの設定初歩を覚えることができま
> > し
> > > > た。(;;--)|
> > > >
> > >  そんなこんなで1,2週間経過しており、くもの糸でもつか
> > み
> > > > たい思いで投稿しました。
> > > >
> > >  カーネルは、2.6系、LIDSもそれに対応したものを使用し
> > て
> > > > おります。
> > > > lidstoolですが
> > > > rpmのときは、インストール後lidsconf -Pで設定。
> > > > ソースのときは、インストール時に設定しました。
> > > >
> > > > # lidsadm -S -- -LIDS
> > > > SWITCH
> > > > enter password:
> > > > LIDS:lidsadm (dev 3:2 inode 2171889) pid 2161 ppid
> > > 2101
> > > > uid/gid (0/0) on (tty1):Give incorrect password
> > > (try #1)
> > > > with caps=0x3684ce7f and flags=0x21 - logging
> > > disabled for
> > > > 60s
> > > > No global capabilities have changed.
> > > > Switching LIDS failed
> > > >
> > > > どなたか、くもの糸を垂らしていただければ幸いです。
> > > > よろしくお願いします。m(_ _)m
> > > >
> > > > --------------------------------------
> > > > GANBARE! NIPPON!
> > > > Yahoo! JAPAN JOC OFFICIAL INTERNET PORTAL SITE
> > > PARTNER
> > > > http://pr.mail.yahoo.co.jp/ganbare-nippon/
> > > >
> > > >
> > >
> > > --
> > > Kazuki Omo: omok@xxxxx
> > > LIDS Japanese Information:
> > > Japanese:
> > > http://www.selinux.gr.jp/LIDS-JP/index.html
> > > English:
> > > http://www.selinux.gr.jp/LIDS-JP/LIDS_en/index.html
> > >
> > >
> >
> >
> > --------------------------------------
> > GANBARE! NIPPON!
> > Yahoo! JAPAN JOC OFFICIAL INTERNET PORTAL SITE PARTNER
> > http://pr.mail.yahoo.co.jp/ganbare-nippon/
> >
> >
>
> --
> Kazuki Omo: omok@xxxxx
> LIDS Japanese Information:
> Japanese: http://www.selinux.gr.jp/LIDS-JP/index.html
> English: http://www.selinux.gr.jp/LIDS-JP/LIDS_en/index.html
>
>

--
Kazuki Omo: omok@xxxxx
LIDS Japanese Information:
Japanese: http://www.selinux.gr.jp/LIDS-JP/index.html
English: http://www.selinux.gr.jp/LIDS-JP/LIDS_en/index.html

投稿者 xml-rpc : 2006年2月17日 12:29
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/31807
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。