2006年4月 2日

[selinux-users:01487] Re: audit2allowの威力(どもありがっとMr.Smalley)

On Sat, 1 Apr 2006 08:36:02 +0900
Shintaro Fujiwara wrote:

自己レスです。

副題に追加で、どもありがっとMr.Nakamura

新しい audit2allow の使い方、およびポリシ生成の方法まで

詳しく載っているページがありました。

http://intrajp.no-ip.com/himainu/audi2allow.html

です。
これ通りにやってみましたが、うまくいきました。
出てきたログをとりあえずなにも考えず許可するモジュールを作成、
ロードさせ再起動、
ログは出なくなりました。
すごすぎます。

もっとも、モジュール前の.teファイルをきれいにしてモジュール化しないと
大変なことになるので、注意が必要です。(これは以前と一緒か...)
きれいにすると言うのは、2つあって、
マクロ化した方がいいと言うのと、
セキュリティ上本当に許可していいのかというのです。

NSAのページに載っているポリシサーバ?入れんといかんのかと思っていましたが、
audit2allowでいけてます。

では、今までのモジュールを直したり、追記したりは出来ないのかと言う疑問がわきます。
それについてはこれから...。

p.s.
実は、reference policy がモジュールモードでロードできなかったので、
strict policyで試しています。
上記のページは、私の足元にあるサーバでした。*orz

投稿者 xml-rpc : 2006年4月 2日 10:51
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/34318
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。