2007年11月26日

[selinux-users:02068] Re: setrlimitを許可するようなタイプはありませんでしょうか。

海外です。

> 先週
> > 結論からいうと外だしにしたらうまくいったようです。
> > 考えてみたら、以前Perl CGIでgpg使ってたのを思い出し、タイプを調べたところ
> > その時は、cgi-binの中のスクリプトを
> > system_u:object_r:httpd_sys_script_exec_t
> > にしてOKでした。


という所で、アレ?妙だな…。とツッコミを入れるべきでした。

> > PHPプログラム自体にもsystem_u:object_r:httpd_sys_script_exec_t
> > にしてみましたがNGで、シェルスクリプトの外出しにして、
> > タイプがsystem_u:object_r:httpd_sys_script_exec_tでうまく
> > いったようです。
> >
> > ありがとうございました。
>
> と書きましたが、私の確認ミスがあり、先週確認した際、Permissiveモードに
> なってました。いろいろと試行錯誤していてPermissiveモードやEnforcingモードに
> 行ったりきたりしているうちにEnforcingモードにし忘れてたようです。
> (セキュリティ設定の最終確認をしたところ発覚しました。)
>
> やはりポリシー変更かPermissiveモードで行くしかなさそうです。
>
> SELinuxのバージョンなどを書き忘れてましたが
> RedHatEL4
> libselinux-1.19.1-7.3
> libselinux-devel-1.19.1-7.3
> selinux-policy-targeted-1.17.30-2.145
> でした。
> 教えてもらったhttpd_unconfined_exec_tをつけようとおもったのですが、
> エラーになったのはSELinuxのバージョン違いでしょうか。
> やり方が違うのでしょうか。

httpd_unconfined_exec_t は RedHatEL5 で利用可能ですが、
RHEL4のセキュリティポリシーには、まだ入っていません。
# むしろこの辺の反省を踏まえて、RHEL5で入ったというべきか

まだSELinux自体が発展過程にあり、色々なモノが付いてきていない
時代のバージョンですので、不十分な点も多々あります。
したがって、RedHatEL4でApache から gpg を実行するためには、
以下の4つのオプションからの選択となるでしょう。

1. SELinux を Permissive mode で動作させる
2. Apache を Targeted Policy の対象から外す
# sesebool -P httpd_disable_trans=1
# /etc/init.d/https restart
3. セキュリティポリシーの修正
4. RedHatEL5にアップデートして、セキュリティポリシーの修正

RedHatEL4では、モジュール化ポリシーもありませんし、後々の
アップデートを考えてもポリシーの修正というのはお勧めできません。
RedHatEL5へアップデート可能なら一つのオプションなのですが…。

では

> # chcon system_u:object_r:httpd_unconfined_exec_t gpg-crypt.pl
> chcon: failed to change context of gpg-crypt.pl to
> system_u:object_r:httpd_unconfined_exec_t: 無効な引数です

投稿者 xml-rpc : 2007年11月26日 12:37
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/66836
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。