2007年12月 6日

[selinux-users:02080] Re: setrlimitを許可するようなタイプはありませんでしょうか。

近藤です。

お世話になります。

少し前に質問させてもらった件ですが、
>> まだSELinux自体が発展過程にあり、色々なモノが付いてきていない
>> 時代のバージョンですので、不十分な点も多々あります。
>> したがって、RedHatEL4でApache から gpg を実行するためには、

>> 以下の4つのオプションからの選択となるでしょう。
>>
>> 1. SELinux を Permissive mode で動作させる
>> 2. Apache を Targeted Policy の対象から外す
>> # sesebool -P httpd_disable_trans=1
>> # /etc/init.d/https restart
>> 3. セキュリティポリシーの修正
>> 4. RedHatEL5にアップデートして、セキュリティポリシーの修正
>>
>> RedHatEL4では、モジュール化ポリシーもありませんし、後々の
>> アップデートを考えてもポリシーの修正というのはお勧めできません。
>> RedHatEL5へアップデート可能なら一つのオプションなのですが…。
>
> RedHatEL5へのアップデートが可能なのかサーバの販売元に確認してみます。
> (プレインストール版です。)

今回は、2と3で対処しました。
あれから、Sambaのパスワード変更処理部分も引っかかり、Permissiveで
一通り操作したあとaudit2allowで追加の設定をだして、teファイルに追加
しましたが、make reloadすると
allow httpd_sys_script_t unconfined_t:process { noatsecure rlimitinh siginh
transition };
という1行だけ
assertion on line 25289 violated by allow httpd_sys_script_t
unconfined_t:process { transition noatsecure siginh rlimitinh };
make: *** [/etc/selinux/targeted/policy/policy.18] エラー 1
となってしまいました。
インターネットで検索したところ、dontauditがどうのこうの書いてある
ようでしたがよく分からず。
ひとまずhttpd_disable_trans=1にしてみようとやってみたところ、
Sambaのパスワード変更処理もうまく行ったようです。

とりあえず、2と3で解決はしたようですが、httpd_sys_script_t unconfined_t
は、httpd_unconfined_exec_tと同様RedHatEL4のSELinuxではなくRedHat5の
SELinuxから使えるものということでしょうか?
(unconfinedというキーワードが付くものはRedHat5?)
という疑問がでたので、今後のために教えていただけたらと思います。

それから、RedHatEL4からRedHatEL5へのアップグレードは、プレイン
ストール版でも可能なようですが、OSを一からの入れなおしのようなので、
断念しました。(今からだとさすがに時間がないので...)


投稿者 xml-rpc : 2007年12月 6日 11:34
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/67291
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。