2007年11月21日

[selinux-users:02059] Re: setrlimitを許可するようなタイプはありませんでしょうか。

07/11/21 に kondo<nobuaki3.kondo@xxxxx> さんは書きました:
> 近藤です。
>
> お世話になります。
> 以前、SELinuxのポリシーソースを変更して対応してましたが、
> SELinux自体がバージョンアップした時、バージョンアップ作業さ
> 結構大変という印象を受けました。

はい、大変です。

> その後、同じことをやるサーバを増やした際、関係ファイルをchcon
> でタイプを変更してやることでうまく動くことを確認しました。
> (WebサービスでPHPのプログラムがうまく動くようになりました)

chconでタイプを変更してもいいと思いますが、再起動したら、
元に戻ってしまうと思います。

> このたび、また別のシステムの(RedHat9からの)リプレースで
> 以前とは違うサービス(プログラム)を動かしているのですが、
> 内部でgpgを呼び出して活用するところが、Permissiveモードだ
> とうまく行きますが、Enforcingだと拒否されます。

SELinux が正しく働いているようです。喜ばしい事です。

> PHPプログラムからは、以下の様なコマンドを実行します。
> echo "暗号化する文字列" |/usr/bin/gpg -a --batch --homedir
> /var/www/.gnupg -e --recipient メールアドレス

へー、こうやってできるんですね。

> ポリシーを変更せずにタイプの変更で対応できないかとおもって、
> /usr/bin/gpgのタイプをunconfined_tやinitrc_tとかに変更しようとしましたが
> 「許可がありません」となりました。

bin_t のままでいいと思います。
このスクリプトだけで使う訳ではないでしょうし。

> audit2allowでは、
> allow httpd_sys_script_t self:process setrlimit;
> というのが出てきましたので、

permissive にしたら、もっと出てきませんか?

>Apacheのプロセスにsetrlimitの許可を
> 与えればいいと思うのですが、

そう思います。

>setrlimitを許可できるようなタイプが
> あったら教えてもらえないでしょうか。

subject object class permission が合致しないといけません。

> Permissiveか、

permissiveでそのスクリプトだけを動かして、audit2allowしてみましょう。

>ポリシーソースを入れて、

apacheのポリシを直してもいいですが、ローカルポリシを作って、

>ポリシー追加するしかなさそうでしょうか。

が、いいと思います。

>
> よろしくお願いします。
>
>
>


--
Shintaro Fujiwara
segatex project (SELinux policy tool)
http://sourceforge.net/projects/segatex/
Home page
http://intrajp.no-ip.com/
Blog
http://intrajp.no-ip.com/nucleus/
CMS
http://intrajp.no-ip.com/xoops/
Wiki
http://intrajp.no-ip.com/pukiwiki/

投稿者 xml-rpc : 2007年11月21日 18:16
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/66717
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。