2006年4月 5日

[selinux-users:01490] refpolicy strict Enforcing sshログイン(staff_r),su - , newrole...


Hi, This is Shintaro.

refpolicy strict Enforcing に挑戦中です。
MONOLITHIC で policy/modules/services以下に
zzzモジュールを作成中です。
なぜこんな名前かというと、コンパイルしたときに見えやすいからです。

yumでいれました。

selinux-policy-mls-2.2.25-2.fc5
libselinux-1.30-1.fc5
libselinux-devel-1.30-1.fc5
selinux-policy-targeted-2.2.25-2.fc5
selinux-policy-2.2.25-2.fc5
selinux-policy-strict-2.2.25-2.fc5
libselinux-python-1.30-1.fc5
selinux-doc-1.25.2-1
checkpolicy-1.30-1.fc5
policycoreutils-1.30.1-2.fc5

souceforgeからとってきていれました。
実際は、こちらを使っています。

refpolicy-20060307.tar.bz2

注意点:

1 modules.confに新しいモジュールを書き加えること。
2 .ifと.fcを作成(とりあえず空でよい)すること。

permissiveにして
make clean
make
make load
Enforcingにして
ログを消し
shutudown -r now
audit2allow -i file >> path_to/zzz.te
を繰り返す(マクロ化していますが、実はsegatexも使っています)。
以下の設定で、ネットワークからssh接続、hogeのstaffログイン、su -、newrole -r sysadm_r -t sysadm_t
が可能でした。
usersファイルとlocal.usersファイルも設定しました。
これからアプリケーションにとりかかります。

policy_module(zzz,1.0)
##########first boot on permissive at audit#################
allow crond_t file_t:file r_file_perms;
allow crond_t lib_t:file x_file_perms;
allow crond_t unlabeled_t:file r_file_perms;
allow hostname_t file_t:file r_file_perms;
allow hostname_t lib_t:file x_file_perms;
allow local_login_t file_t:file r_file_perms;
allow local_login_t lib_t:file x_file_perms;
allow newrole_t file_t:file r_file_perms;
allow newrole_t lib_t:file x_file_perms;
allow sshd_t file_t:file r_file_perms;
allow sshd_t lib_t:file x_file_perms;
allow sysadm_t unlabeled_t:lnk_file r_file_perms;
allow sysadm_t user_home_t:file x_file_perms;
allow udev_t file_t:file r_file_perms;
allow udev_t lib_t:file x_file_perms;
##########second boot on strict at messages#################
allow init_t lib_t:file rx_file_perms;
allow init_t file_t:file r_file_perms;
allow init_t file_t:file lock;
allow hostname_t lib_t:file rx_file_perms;
allow mount_t lib_t:file rx_file_perms;
allow restorecon_t lib_t:file rx_file_perms;
allow initrc_t file_t:file r_file_perms;
allow udev_t lib_t:file rx_file_perms;
allow udev_t self:capability { setgid setuid };
allow lvm_t file_t:file r_file_perms;
allow fsadm_t file_t:file rx_file_perms;
allow restorecon_t file_t:file rx_file_perms;
allow mount_t unlabeled_t:dir { mounton };
allow mount_t file_t:file create_file_perms;
allow setfiles_t lib_t:file execute;
allow setfiles_t file_t:file r_file_perms;
allow initrc_t file_t:file create_file_perms;
allow initrc_t file_t:dir create_dir_perms;
allow fsadm_t lib_t:file create_file_perms;
allow udev_t file_t:file r_file_perms;
allow ifconfig_t lib_t:file x_file_perms;
allow ifconfig_t file_t:file r_file_perms;
allow hostname_t lib_t:file x_file_perms;
allow hostname_t file_t:file r_file_perms;
allow auditd_t file_t:file ra_file_perms;
allow fsadm_t file_t:file create_file_perms;
allow fsadm_t lib_t:file create_file_perms;
allow fsadm_t lib_t:file { execute };
############third boot on strict at audit################################
allow sysadm_t user_home_t:file { execute_no_trans };
allow system_chkpwd_t lib_t:file x_file_perms;
#############fourth boot on strict at audit#########################
allow sshd_t unlabeled_t:dir { search };
allow staff_t file_t:file r_file_perms;
allow system_chkpwd_t file_t:file r_file_perms;
#############fifth boot on strict at audit######################
allow staff_su_t lib_t:file x_file_perms;
#############6th boot on strict at audit######################
allow staff_chkpwd_t lib_t:file x_file_perms;
#############7th boot on strict at audit######################
allow staff_chkpwd_t file_t:file r_file_perms;
allow staff_su_t user_home_dir_t:dir { search };
allow staff_su_t user_home_dir_t:capability { dac_override dac_read_search };
#allow staff_su_t user_home_dir_t:process { sigchld };
allow staff_t sshd_t:process { signull };
#############8th boot on strict at audit######################
allow staff_t unlabeled_t:file r_file_perms;
#############9th boot on strict at audit#######################
allow staff_su_t file_t:file r_file_perms;
allow staff_su_t file_t:file rw_file_perms;
#allow staff_su_t file_t:process { sigchld };
allow staff_t user_home_t:file rx_file_perms;
allow staff_t user_home_t:capability { setgid setuid };
allow staff_t user_home_t:tcp_socket create_socket_perms;
############10th boot on strict at audit###############
allow staff_t staff_su_t:process sigchld;
############11th boot on strict by me###############
allow staff_t user_home_dir_t:dir r_dir_perms;
allow staff_t user_home_t:file r_file_perms;

投稿者 xml-rpc : 2006年4月 5日 05:34
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/34414
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。