2006年5月 1日

[selinux-users:01562] Re: seedit*****設定が簡単で安全なSELinux日本版*****


藤原@FC5設定中 です。

正式にはまだですが...
seeditのtest2をクライアントマシン(FC4)に入れてみました。
設定しようと思ったんですが、まだ余裕がないので、
seedit化された自分のマシンを軽く分析しました。
使ったのは、自作ツールのsegatexです。

去年seeditの設定のし方のページを作りましたが、
「seeditってどうよ」というふざけたタイトルです(すいません...)

そろそろバージョンアップしたいです。
http://intrajp.no-ip.com/selinux.php

中村さんが色々と便利なものを作っていらっしゃるはずなのですが、
まだ使ってません。去年設定した経験からいうと、
新しいバージョンも設定は劇的に簡単になるはずなんで、期待しています。

では、

**********以下実験中の結果****************
ロールは、以下のように表示されたので、3を選択しました。


Your default context is root:staff_r:newrole_t.

Do you want to choose a different one? [n]y
[1] root:staff_r:newrole_t
[2] root:staff_r:mail_t
[3] root:sysadm_r:newrole_t
[4] root:sysadm_r:mail_t
[5] root:system_r:newrole_t
[6] root:system_r:mail_t
Enter number of choice: 3

それで、私のツールsegatexをかけてみました。
まず、マクロ表示です。

[root@xxxxx ~]# segatex
[1]audit to macro [2]solve_problem [q]exit
1
This is segate.

allow cannaserver_t etc_runtime_t:file r_file_perms;
allow crond_t var_run_t:file create_file_perms;
allow gdm_t tmp_t:file create_file_perms;
allow initrc_t etc_t:dir create_dir_perms;
allow initrc_t etc_t:file create_file_perms;
allow initrc_t initrc_t:capability { net_bind_service };
allow initrc_t root_t:file create_file_perms;
allow initrc_t var_t:dir create_dir_perms;
allow kernel_t kernel_t:capability { sys_nice };
allow mount_t etc_t:file create_file_perms;
allow mount_t etc_t:file rw_file_perms;
allow newrole_t bin_bash_t:file { entrypoint };
allow newrole_t etc_runtime_t:file r_file_perms;
allow newrole_t home_t:dir rw_dir_perms;
allow newrole_t home_t:file create_file_perms;
allow newrole_t root_t:dir rw_dir_perms;
allow newrole_t root_t:file create_file_perms;
allow newrole_t usr_t:file { entrypoint };
allow newrole_t var_log_audit_t:dir { search };
allow newrole_t var_log_audit_t:file r_file_perms;
allow newrole_t var_log_audit_t:file rw_file_perms;
allow newrole_t var_log_audit_t:netlink_audit_socket create_socket_perms;
allow newrole_t var_log_audit_t:netlink_route_socket create_socket_perms;
allow newrole_t var_log_audit_t:netlink_selinux_socket create_socket_perms;
allow user_t autofs_t:dir { getattr };
allow user_t bin_su_t:file rx_file_perms;
allow user_t dev_log_t:sock_file rw_file_perms;
allow user_t dev_t:chr_file rw_file_perms;
allow user_t etc_selinux_seedit_t:dir { search };
allow user_t etc_selinux_seedit_t:file r_file_perms;
allow user_t etc_shadow_t:file r_file_perms;
allow user_t gdm_tmp_t:dir ra_dir_perms;
allow user_t gdm_tmp_t:sock_file create_file_perms;
allow user_t iiimd_t:unix_stream_socket { connectto };
allow user_t root_t:dir rw_dir_perms;
allow user_t root_t:file create_file_perms;
allow user_t security_t:dir { getattr search };
allow user_t security_t:file rw_file_perms;
allow user_t security_t:security { compute_av compute_relabel compute_user };
allow user_t syslogd_t:unix_dgram_socket { sendto };
allow user_t tmp_t:file create_file_perms;
allow user_t user_devpts_t:chr_file { relabelfrom relabelto };
allow user_t var_log_wtmp_t:file create_file_perms;
allow user_t var_run_iiim_t:sock_file rw_file_perms;
allow user_t var_run_t:file rw_file_perms;
allow user_t xserver_t:unix_stream_socket { connectto };
allow xfs_t var_run_t:file create_file_perms;
allow xserver_t home_t:file r_file_perms;
allow xserver_t tmp_t:file create_file_perms;

次にinitrc_tからドメイン遷移するべきプログラムの検索

[1]audit to macro [2]solve_problem [q]exit
2
This is segate.

Checking problems on this machine.Please wait...

Found SELinux problems.These should be domain-transed from initrc_t.

antivir::fullpath is:/root/Desktop/antivir-workstation-pers-2.1.5-24/bin/antivir
antivir::fullpath is unnkown.
You should find / -type f -name "antivir " on console...
cupsd::fullpath is unnkown.
You should find / -type f -name "cupsd " on console...

fc file(s) are created in this folder. Please check.

[1]audit to macro [2]solve_problem [q]exit
q

On Wed, 26 Apr 2006 11:34:02 -0400
Yuichi Nakamura wrote:

>
> 中村です。
>
> On Wed, 26 Apr 2006 23:43:42 +0900
> Shintaro Fujiwara wrote:
> > 気づかなかったふりをしていたわけではありません。
> > 忙しかったんです。
> > seeditの1.4.0.test-1が出ていますね。
> test2を今アップしました。
> まだテスト中&ドキュメントが途中だったので、
> アナウンスしてませんでした。
>
> 書きかけのドキュメントが、
> http://seedit.sourceforge.net/test/tutorial/
> にありますが、
> 本格的にポリシ編集するためのドキュメントはまだです。
> バグがすごいかもしれませんので、
> 本格的に使うのは避けてください。
> あくまで、「どんな機能があるのか試す」程度で。
>
> 以下,今回のバージョンについて色々と。
> 今回のバージョンは、
> Simplified Policyの設計をやりなおしました。
> 結果,セキュリティが大きく向上してます。
> これは、大学の研究テーマとしてやってます。
> 文法とか管理コマンドもAppArmorをパクって整理しました。
>
> Simplified Policyの仕様書のドラフトは以下です。
> http://seedit.sourceforge.net/test/spdl_spec/
>
> 目指すは、
> 1) 初心者は、AppArmor並に簡単に使えて,AppArmorより上のセキュリティを得られる
> つまり、ネットワークに公開されているデーモンのうち、気になるものの動作を封じ込める。
>  封じ込めのレベルはAppArmorより細かく封じ込められる
> 2) 凝りたい人は、Reference Policyの面倒な書式を覚えることなく、SELinuxのstrictポリシ並のセキュリティを得られる
> です。
> まずは1)をターゲットにしてます。
> 今回のバージョンのデフォルトも1)です。
>
> 2)についてはポリシを作ってないですが,
> 原理的には,
> 「情報フロー検証可能なセキュリティは得られないものの、
> 全てのプロセス、ユーザの動作を封じ込め可能」なはずです。
>
> テスト版ですが、何かコメントがありましたら、
> 遠慮なく私までメールください。
>
> もう少しドキュメントが揃ってバグが取れたら
> またアナウンスします。
>
> ---
> Yuichi Nakamura

投稿者 xml-rpc : 2006年5月 1日 06:07
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/35668
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。