2006年7月14日

[selinux-users:01677] Appending permissions to policy files

藤原@早起き です。

SELinuxの悩みは、
拒否された事象を許可したい、
できれば(というか絶対に)正しく。

ということだと思います。
わたし自身は、悩みなく使えるまでに、

FC4で約3ヶ月
FC5で約2ヶ月
かかりました。

現在は、まったく悩みなく、SELinunxの事なんか
これっぽっちも心配することなく過ごしています。

で、いちばん悩ましいのが、新しくあがったdeniedの
ログをどう解釈し、どう判断し、対処するのか、
ということでしょう。

RAWHIDEという、不安定なバージョンにしている人たちは、
「バグ発見!」と、報告し合い、ポリシを直しています。
我々一般人は、設定が正しければ、放っておきます。
なぜなら、自分の知識以上の事で拒絶ログが出ていると考えられる、
又は、本当に攻撃されている、のどちらかだからです。

攻撃されている場合は、たぶんわかります。
自分の知識以上の場合は、ML等で質問します。

ちょっとチャレンジんグな人は、自分でポリシをいじります。

ということで本題ですが、FC5における正しいポリシの追記方法は、
私の信じる限り、以下です。

例えば、httpdが自分のモジュール内で何かしたかったら、
一例として、ログを書きたいとか、ファイルを生成したいとか、
apache.teファイルに追記します。
mysqlがhttpdに何かしたかったら、
apache.ifファイルからまずインターフェースが存在しないか探します。
あれば、$1のところをmysqlにして、mysql.teに追記します。
なければ、質問するか、自分で作成します。うまくいったら、
ML等で発言し、人に見てもらい評価してもらいよければみんなで共有します。

私が、xoopsからメールを投げるためのインターフェースを作りましたけど、
こんな感じです。もう一度投げます。これをpostfixモジュールで使えば、
余計な権限をあたえないで安全です。
みんな幸せになる。
と言う手順です。
ここで、人間の能力の限界を補うとすれば、
インターフェースを探すツールなんかがあると、
もっと幸せになれると思います。

よろしくお願いします。

interface(`xoops_send_mail_postfix_master_by_me',`
gen_require(`
type bin_t;
type smtp_port_t;
type sendmail_exec_t;
')
allow $1 bin_t:dir search;
allow $1 smtp_port_t:tcp_socket { name_connect send_msg
recv_msg };
allow $1 sendmail_exec_t:file { execute execute_no_trans getattr
read };
')


投稿者 xml-rpc : 2006年7月14日 05:28
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/39535
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。