2007年11月22日

[selinux-users:02060] Re: setrlimitを許可するようなタイプはありませんでしょうか。

近藤です。

レスありがとうございます。

>> その後、同じことをやるサーバを増やした際、関係ファイルをchcon
>> でタイプを変更してやることでうまく動くことを確認しました。
>> (WebサービスでPHPのプログラムがうまく動くようになりました)
>

> chconでタイプを変更してもいいと思いますが、再起動したら、
> 元に戻ってしまうと思います。

えっ!そうだったんですか?
(再起動時にrestoreconが実行されるのかな)
以前、chconでタイプを変更してうまく行ったサーバは、運用開始前に
再起動して確認してたと思うのですが、改めて考えるとちょっと
確信がないです。今度再起動したとき、サービスに問題がでたら
タイプが変わったということですね。
その時の構築手順は残してあるので、直ぐにタイプをつけないといけない
ファイルは分かりますが、再起動するとタイプを勝手に付け替えたファイルの
タイプが変わる可能性があることを覚えておきます。

>> PHPプログラムからは、以下の様なコマンドを実行します。
>> echo "暗号化する文字列" |/usr/bin/gpg -a --batch --homedir
>> /var/www/.gnupg -e --recipient メールアドレス
>
> へー、こうやってできるんですね。

現在運用中のRedHat9で構築したものでは動いてます。
目的はパスワードを忘れたり有効期限切れした人に対して、
仮パスワードを発行する仕組みで、予め登録してもらった公開鍵でないと
復号できない仕組みにしてます。
そのため、サーバでの認証不要(ユーザIDのみ)で仮パスワードを発行できます。
サーバへのパスワード反映は、仮パスワードで認証ができてからなので、
復号化できない第三者は、仮パスワードを何回発行しても本人に影響ない
ようにしています。
公開鍵の登録は、パスワードが分かっている間に登録するか、管理者側で
登録するようにしてます。
(GnuPGを一般ユーザに普及させるのはなかなか大変なんですが...)

>> ポリシーを変更せずにタイプの変更で対応できないかとおもって、
>> /usr/bin/gpgのタイプをunconfined_tやinitrc_tとかに変更しようとしましたが
>> 「許可がありません」となりました。
>
> bin_t のままでいいと思います。
> このスクリプトだけで使う訳ではないでしょうし。

基本的にはサーバのgpgは、apacheプロセス専用でもいいくらいなんですが...

>> Permissiveか、
>
> permissiveでそのスクリプトだけを動かして、audit2allowしてみましょう。
>
>>ポリシーソースを入れて、
>
> apacheのポリシを直してもいいですが、ローカルポリシを作って、
>
>>ポリシー追加するしかなさそうでしょうか。
>
> が、いいと思います。

やはりそうですか。
ありがとうございました。


投稿者 xml-rpc : 2007年11月22日 09:23
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/66782
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。