2006年5月 3日

[selinux-users:01570] Re: ログインについての悩み-苦悩【解決】

Takeshi Nasuです。
中村さん回答どうもありがとうございました。<( _ _ )>

ログイン問題無事解決いたしました。

>>  また、Fedora Core3よりrootでログインするとsysadm_r;sysadm_tでログインしてしまってますが、
>>  staff_r:staff_rログインするようにするためにはどのようにすればよろしいでしょうか?
についてですが、解決いたしました。

rootディレクトリに.default_contextsを作成してもダメ、/etc/selinux/strict/contexts/default_contextsの中の順番を入れ替えても
だめでした。

/etc/selinux/strict/src/policy/appconfig/root_default_contexts

のsysadm_r -> staff_rという順番で並んでいるのを
  staff_r -> sysadm_rという順番に入れ替えればOKでした。

なんとまぁややこしい。もう少しファイルを整理してもらいたいものですね。すると、default_contextsは何をやっているのだろうか?
一般ユーザロールのためのcontextなのだろうか?そうだとするとrootのcontext紛らわしいのではずしてもらいたいものです。


----- Original Message -----
From: "Yuichi Nakamura"
To:
Cc: ;
Sent: Tuesday, May 02, 2006 7:04 AM
Subject: [selinux-users:01568] Re: ログインについての悩み-苦悩


>
> 中村です。
>
> On Tue, 2 May 2006 06:37:54 +0900
> "RainDog" wrote:
>>  CentOS4.3をインストールし、strictポリシーがなかったのでFedora Core3のstrictポリシーで大丈夫?
>> だということだったので、これを利用したのですが、ほんとにFedora Core3のstrictポリシー(
>> selinux-policy-strict-1.17.30-2.noarch)を使って大丈夫なのでしょうか?
> 「大丈夫」と断言はできないのですが、
> セキュリティホールとなる状況は生じないと思います。
>
>>  また、Fedora Core3よりrootでログインするとsysadm_r;sysadm_tでログインしてしまってますが、staff_r:staff_rログインするようにするためにはどのようにすればよろしいでしょうか?
> /etc/selinux/strict/contextsの下のどこかに,
> default_contextというファイルがあると思います。
> sysadm_r -> staff_rという順番で並んでいるのを
> staff_r -> sysadm_rという順番に入れ替えればOKです。
>
>>  なお、このstrictポリシーを適用してログインしようとするとPermissiveモードでも一度ログインをはじかれて
>> 2度目でしかログインできないのですが、どのような問題があるのでしょうか?もちろんSELinuxのエラーログは
>> 対応済みです。ちなみにenfocingモードだとログインすらできないようになってしまいます。
>
> この時代のカーネル/ポリシーには、「ログが出ないSELinuxアクセス拒否」
> という問題があります。
> http://www.selinux.gr.jp/selinux-users-ml/200512.month/1289.html
> http://www.selinux.gr.jp/selinux-users-ml/200510.month/1125.html
>
> allow domain capability:self { audit_write audit_control };
> を、どのteファイルでもいいので、追加してみてください。
>
>
> ---
> Yuichi Nakamura
>

投稿者 xml-rpc : 2006年5月 3日 09:14
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/35738
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。