SELinuxはdisableにするもの、そう考えている人が一般的に多いらしい。 SELinuxについて調べる機会が有り、調べてみたところ、 実は食わず嫌いなだけで、使うだけであればそこまで難しく無いものだと感じた。 せっかくなのでそのまとめ。 SELinuxとは? DACの仕組みだけに頼らない、セキュリティをより強固にしたもの。 (DACはユーザごとにファイルとかに対してrwxを与える仕組みのこと) DAC→SELinuxという順番でチェックされるため、DACで弾かれるとSELinuxのチェックは働かない。 動きを簡単にまとめると、プロセスやファイルごとにSELinuxコンテキストという ラベルみたいなのが設定されていて、そのプロセスに設定されているラベルが ファイルやディレクトリに設定されているラベルに対して、 読み取りだけとか書き込みもOKとか許可するルールを設定していく感じ。 SE
はじめに 注意事項 この記事は何らかの理由でSELinuxを利用しなければならない時に発生する、意図せずプログラムが動かなくなる問題を解決するための手段を書いたものである。 作業対象のOSは作業中いつでも停止可能であるものとする。SELinuxの設定作業中に停止不可能とか無茶なので。 また、すべての操作はrootユーザで行っている。SELinuxは「管理者による強制的なアクセス制御」なのでrootユーザが操作しなければならない。 内容は主にCentOS 7で確認し、CentOS 6やFedora 22も一部確認に使用している。 SELinuxの管理で使用する各種のコマンドは初期からインストールされているものは少なく、またコマンド名がそれを含むrpmパッケージ名と一致しないものが多い。 このような場合はyum install *bin/<コマンド名>でインストールすることができる。Fedor
問題点ScientificLinux6(RedHat系Linux)でApacheのDocumentRootを、例えば/home/hoge/www/htmlなどと指定して、/etc/init.d/httpd startとすると。Syntax error on line 292 of /etc/httpd/conf/httpd.conf:DocumentRoot must be a directoryとエラーを返されてしまう。 すぐに想像される原因はファイルのパーミッションと所有権である。chmod 777,chown hoge:hogeをしてパーミッションの変更、所有権をhttpd.confで指定しているユーザに統一したが、それでも同じエラーがかえってくる。 原因原因は予想もつかないところで、SELinux(Security-Enhanced Linux)だった。 SELinuxは米NSAが
こんにちは。今回は誰得感の否めないSELinuxエントリです。しかも独学なのでかなり眉唾物です。 SELinuxのポリシーをスクラッチで書くのが目的です。既存のポリシーを運用する話ではないです。 環境はDebian squeezeです。 SELinuxとは SELinuxは、Linuxにおいて詳細なセキュリティー制御を行うための仕組みです。一般的なデスクトップ用のLinuxではオフになっているようです。現在はLinuxのセキュリティー機構はLSMという仕組みで提供されていて、SELinuxやTOMOYO Linuxなどのなかから選べる仕組みのようです。 SELinuxは強制アクセス制御(MAC)といって、自分の所有物であっても管理者でなければ権限コントロールができない、みたいな仕組みらしいです。MACにすることの利点は馬鹿なユーザーが穴を開けてしまうのを防げることのようです。 インストール
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く