2007年12月10日

[selinux-users:02088] Re: setrlimitを許可するようなタイプはありませんでしょうか。

近藤です。

お世話になります。

> 海外です。
>
<略>
> これは neverallow ルールに引っかかっているものと思われます。

>
> 手元にRHEL4の該当ポリシーがありませんでしたので、CentOS4のポリシー
> (selinux-policy-targeted-sources-1.17.30-2.145.noarch.rpm)で確認
> してみたところ、以下のようなルールがありました。
> ------
> # Confined domains must never touch an unconfined domain except to
> # send SIGCHLD for child termination notifications.
> neverallow { domain -unrestricted -snmpd_t -pegasus_t }
> unconfined_t:process ~sigchld;
> ------
> これは、httpd_sys_script_t(CGIスクリプト)をはじめとする unconfined でないドメイン、
> つまり SELinux が厳しいアクセス制御を行っているドメインが、unconfined_t ドメインには
> 一切手出しできないようにするためのルールです。

そういうのがあるのですね。

> 再度、gpgを呼び出すスクリプトを httpd_unconfined_script_exec_t タイプに変更して
> 動作させることができるかどうか、試してみて頂けないでしょうか?
>
> 変更方法は、以下の通りです。
> $ chcon -t httpd_unconfined_script_exec_t <スクリプトファイル>
>
> Sambaのパスワードを操作するスクリプトも、同じように対処可能と思われますが、
>
> 手元に実環境が無いので、ポリシーだけを見てのサジェスチョンです。

本日サーバリプレースでしたが、POPサーバが使えなかったという支障が
でたため、リプレースが延期しました。
(プログラムの移行にばかり気が行ってPOPを忘れてました。dovecotはちょっと
難解です。)
幸か不幸か、その為に試せました。
chcon自体は成功したものの、どうもだめなようでした。

>> とりあえず、2と3で解決はしたようですが、httpd_sys_script_t unconfined_t
>> は、httpd_unconfined_exec_tと同様RedHatEL4のSELinuxではなくRedHat5の
>> SELinuxから使えるものということでしょうか?
>> (unconfinedというキーワードが付くものはRedHat5?)
>> という疑問がでたので、今後のために教えていただけたらと思います。
>
> RedHatEL4 のポリシーと、RedHatEL5 のポリシーは、そもそも出自が違っており、
> 差分を比較するのはなかなか困難です。
> # RHEL4: NSA配布のポリシーをベースにしている
> # RHEL5: Reference Policy という 0 から書き直されたものがベース
>
> で、unconfined_t は RHEL4/5 で同じ動きをするようにポリシーが記述されています。
>
> しかし、httpd_sys_script_t(CGI)からは遷移パスを切る事で、CGIの弱点を突いて
> 権限を奪われないように設定されている、という事ですね。

RedHatEL5だけでなく、RedHatEL4も同じようにunconfined_tがあるということですね。

ありがとうございました。


投稿者 xml-rpc : 2007年12月10日 21:52
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/67468
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。