SELinux
そういえば、SELinux ユーザーの sutaff_u から、SELinux ロールの unconfined_r を抜いておくのを忘れないようにしましょう。 # semanage user -m -R "staff_r system_r sysadm_r" staff_u 確認しましょう。 # semanage user -l staff_u から、unconfined_r…
おつかれさまです。 さて、myuser の SELinux ユーザーを staff_u にしましたよね。 $ id -Z (表示) staff_u:staff_r:staff_t:s0 然し乍ら、myuser のホームディレクトリのセキュリティコンテキストを確認すると、以下のようになっています。 $ ls -lZ (…
おつかれさまです。 前回、unconfined ポリシを、以下のように削除してみましたよね。 # semodule -d unconfined ここで、システムのリラベルを実行すると、システム再起動を繰り返す、という問題を発見しました。 # touch /.autorelabel # shutdown -r now …
ちょっと前回は、やりすぎた感があります。 デフォルトの SELinux ユーザーを unconfined_u にする前(ユーザーをロックダウンする前)まで戻りました。 では、root ユーザの SELinux ログイン設定を、unconfined_u に戻しましょう。 # semanage login -m -s…
では、次に、ユーザーを作成した時に、staff_u をデフォルトにしましょう。 # semanage login -m -s staff_u __default__ 設定を確認します。 # semanage login -l (表示)ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名__default__ staff_u s0 *roo…
次は、ユーザーについてロックダウンしていくことを検討しましょう。 ユーザーについての現在の設定を確認する。 # semanage login -l================ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名__default__ unconfined_u s0-s0:c0.c1023 *root u…
では、strict ポリシに近づけていきます。 ところで、<user> ユーザーが、wheel グループに入ったままなので、抜きます。以下のコマンドにより可能です。 # gpasswd -d <user> group では、実行します。 # gpasswd -d <user> wheel まずは、unconfined モジュールを削除します</user></user></user>…
Fedora28 で initrc_t からドメイン遷移するドメインがどれくらいのあるかを調べます。 # sesearch -T -s initrc_t | wc -l3125 カウントするのをやめると、以下のように出力されます。 # sesearch -T -s initrc_ttype_transition initrc_t NetworkManager_e…
minimal をダウンロード。インストールしてから、curl は入っているので、以下でできる。$ curl -sO https://raw.githubusercontent.com/intrajp/shirasagi-hardening/master/install.sh# bash install.shそして、systemctl get-default として、graphical.t…
SHIRASAGI-hardening を、CentOS 7.4 に対応させました。 インストールテストもしました。って、それ以上が分からないけど、今度、勉強します。 http://localhost:3000/.mypage アカウント:admin パスワード:pass で、テストページが表示できましたぁ。 ht…
お疲れさまです、私 です。 SHIRASAGI-hardening のインストーラーは、直していますが、使用されているパッケージが新しくなったりした場合には、きつくなると思いますので、RPM 化を考えています。 何かありましたら、お願いします。
SHIRASAGI-hardening インストーラーですが、1度実行していて、2度目に実行しても変にならないように直しました。 その他、さらなる関数化等、取り組んでみました。 何かありましたら、お知らせください。 github.com
お疲れさまです。私 です。 SHIRASAGI-hardening のインストーラーですが、多少直しました。 コマンドが失敗したら、そこで止まるようにはすでに何ヵ所かしていたのですが、それをもっと増やしてみました。 というのも、あるところでエラーになっていたのに…
こんにちは、私です。 SHIRASAGI は、オープンソースの CMS ですが、 付属しているインストーラーは、CentOS 用のものといえ、SELinux を有無を言わさず無効にする、というものです。 これに疑問を持った私は、逆に、SELinux が有効なら動くインストーラーを…
Docker 0-Day Stopped Cold by SELinux – Red Hat Enterprise Linux Blog