2006年5月22日

[selinux-users:01609] MCS の有効な使い方


藤原@最終コーナー です

MCSの使い方ですが、
海外さんもご指摘の通り、
ちょっとしたRBACとしても使えます。
あるファイルに、s0:c0を割り振ると、
c0カテゴリを読めるユーザしか、

読めなくなります。
ユーザと言いましたが、これはデーモンにも
当てはまります。

strictポリシで実験してみましたが、
apacheデーモンにはカテゴリが付与されていないので、
httpd_sys_content_tファイルにc0を付与して
viエディタで編集し、ブラウザからアクセスしてみたところ、
そのページは真っ白で何も表示されず、
logにはdeniedされた跡がありました。
もちろん、allowしていますけど
デーモンにはカテゴリを持たせていないので、
deny されるようです。

以上の事象をRussellに質問したところ、
本場のMLに投げてくれました。
アジア地区と米東海岸は時差があるため、
しばらくかかるんでしょうけど、楽しみです。

私がやりたいのは、web管理者、バックアップ管理者、等
役割を分けると言うのをMCSでやってみたいだけなんですが、
(実は、田口さんのビデオに触発された)
デーモンが認識してくれないんじゃどうしようもなくて。
そのうち解決できると思うんですが、
皆さんはどうお考えでしょう。

投稿者 xml-rpc : 2006年5月22日 09:02
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/36659
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。