2006年7月24日

[selinux-users:01693] AVC messages on Enforcing mode and permissive mode

藤原 です。

audit.log の出方の話です。

熊猫さんのご質問ですが、私が提示したログの例が
よくなかったかもしれません。
なぜなら、それは Enforcing mode の状態で
吐き出されたものだったからです。

Enforcing mode ですと、本当はもっと色々やりたいんだけど、
本当に拒否してしまうので、先に進めないため、
設定を考えると、中途半端な出方になります。
設定は、permissive mode で行えという
原則は、こんな所から来ています。

ただ、安易にpermissive modeに出来ないときも
あると思います。
そんなときは、Enforcing modeのままで、
設定をするでしょう。
でもそんなことをしたら、逐語訳という言葉がありますが、
それこそ許可するたびに新たな拒否が出て、
非常に面倒です。
SELinuxのいやな一面をかいま見る瞬間かもしれません。

そこで、interfaceの利用です。
少しでも、あるinterfaceに引っかかれば、
将来出てくるであろう拒否のログを先取りして
許可できるのではないかと思います。

でも、ほんのわずかな拒否のログからどうやって
interfaceを導き出せるのか。
それは、interfaceが許可している中身を見て、
引っかかれば、思いきって許可、でどうでしょう。

私が今作っている(作った)ツールは、
それを実施します。
FC4時代にはsegatexというマクロを出すツール
を作りましたけど、FC5となった今旬なのは、
interfaceだと思います。
印刷したら20cmになりましたけど、
宴会の時、これを全て暗記しますといいました。
もちろんそんな事できるわけないので、
ツールに暗記させました。
こんなツールでもあれば、SELinuxがかなり
使いやすくなると思っています。
私はこれを、webを通じてaudit.logを
投げたら、表示されるようにしたいです。

数日後にサイト構築を開始する予定です。
よろしくお願いします。


投稿者 xml-rpc : 2006年7月24日 04:20
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/42721
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。