2007年11月26日

[selinux-users:02070] Re: setrlimitを許可するようなタイプはありませんでしょうか。

お疲れさまです。

藤原です。

まあ、気楽にいきましょう。
よくある間違いですよ。

SELinuxをいじっているときは、本当に訳がわからなくなります。

私が、気をつけているのは、
常に、

#sestatus

を打つことです。
これは、古いバージョンのSELinuxだと、いっぱい出てくるので、

#sestatus | more

とでもすればいいです。
これで、デフォルトの状態と、現在の状態が確認できますよ。
何かアクションを起こしたら、私は、わかっていても、必ず
これを打つことにしています。
電車の車掌さんが、安全確認をするようなものです。

古いバージョン、「example policy」と呼ばれている?
は、ラベルを2重につけてしまったりと、しやすく、注意が必要。
でも、実は、あるところで私も未だに使っていますよ。。
Fedora Core 4 なんですがね。

Russellさんの書いたポリシーですな。
おかしくなったら、
make relabel してますよ。
だから、relabel に耐えられるように、ラベルは、ポリシ化しておく
必要があると、考えます。

まあ、よっぽど古いマシんじゃない限り、アップするといいかもですね。
有償版なら、エラーも出ないでしょうし。
では。

07/11/26 に kondo<nobuaki3.kondo@xxxxx> さんは書きました:
> 近藤です。
>
> お世話になります。
>
> > httpd_unconfined_exec_t は RedHatEL5 で利用可能ですが、
> > RHEL4のセキュリティポリシーには、まだ入っていません。
> > # むしろこの辺の反省を踏まえて、RHEL5で入ったというべきか
>
> そうでしたか。
> バージョンを最初に書き忘れて済みませんでした。
>
> > まだSELinux自体が発展過程にあり、色々なモノが付いてきていない
> > 時代のバージョンですので、不十分な点も多々あります。
> > したがって、RedHatEL4でApache から gpg を実行するためには、
> > 以下の4つのオプションからの選択となるでしょう。
> >
> > 1. SELinux を Permissive mode で動作させる
> > 2. Apache を Targeted Policy の対象から外す
> > # sesebool -P httpd_disable_trans=1
> > # /etc/init.d/https restart
> > 3. セキュリティポリシーの修正
> > 4. RedHatEL5にアップデートして、セキュリティポリシーの修正
> >
> > RedHatEL4では、モジュール化ポリシーもありませんし、後々の
> > アップデートを考えてもポリシーの修正というのはお勧めできません。
> > RedHatEL5へアップデート可能なら一つのオプションなのですが…。
>
> RedHatEL5へのアップデートが可能なのかサーバの販売元に確認してみます。
> (プレインストール版です。)
>
> 上記の選択肢から選択し用と思います。
> ありがとうございました。
>
>
>
>
>


--
Shintaro Fujiwara
segatex project (SELinux policy tool)
http://sourceforge.net/projects/segatex/
Home page
http://intrajp.no-ip.com/
Blog
http://intrajp.no-ip.com/nucleus/
CMS
http://intrajp.no-ip.com/xoops/
Wiki
http://intrajp.no-ip.com/pukiwiki/

投稿者 xml-rpc : 2007年11月26日 19:02
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/66857
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。