2006年5月 2日

[selinux-users:01568] Re: ログインについての悩み-苦悩


中村です。

On Tue, 2 May 2006 06:37:54 +0900
"RainDog" wrote:
>  CentOS4.3をインストールし、strictポリシーがなかったのでFedora Core3のstrictポリシーで大丈夫?
> だということだったので、これを利用したのですが、ほんとにFedora Core3のstrictポリシー(
> selinux-policy-strict-1.17.30-2.noarch)を使って大丈夫なのでしょうか?

「大丈夫」と断言はできないのですが、
セキュリティホールとなる状況は生じないと思います。

>  また、Fedora Core3よりrootでログインするとsysadm_r;sysadm_tでログインしてしまってますが、staff_r:staff_rログインするようにするためにはどのようにすればよろしいでしょうか?
/etc/selinux/strict/contextsの下のどこかに,
default_contextというファイルがあると思います。
sysadm_r -> staff_rという順番で並んでいるのを
staff_r -> sysadm_rという順番に入れ替えればOKです。

>  なお、このstrictポリシーを適用してログインしようとするとPermissiveモードでも一度ログインをはじかれて
> 2度目でしかログインできないのですが、どのような問題があるのでしょうか?もちろんSELinuxのエラーログは
> 対応済みです。ちなみにenfocingモードだとログインすらできないようになってしまいます。

この時代のカーネル/ポリシーには、「ログが出ないSELinuxアクセス拒否」
という問題があります。
http://www.selinux.gr.jp/selinux-users-ml/200512.month/1289.html
http://www.selinux.gr.jp/selinux-users-ml/200510.month/1125.html

allow domain capability:self { audit_write audit_control };
を、どのteファイルでもいいので、追加してみてください。


---
Yuichi Nakamura

投稿者 xml-rpc : 2006年5月 2日 07:04
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/35696
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。