computerの日記

Cisco,SHELL,C,Qt,C++,Linux,ネットワーク,Windows Scriptなどの発言です

トップ > SELinux

SELinux

SELinux を頑張る-その8

SELinux

そういえば、SELinux ユーザーの sutaff_u から、SELinux ロールの unconfined_r を抜いておくのを忘れないようにしましょう。 # semanage user -m -R "staff_r system_r sysadm_r" staff_u 確認しましょう。 # semanage user -l staff_u から、unconfined_r…

SELinux を頑張る-その7

SELinux

おつかれさまです。 さて、myuser の SELinux ユーザーを staff_u にしましたよね。 $ id -Z (表示) staff_u:staff_r:staff_t:s0 然し乍ら、myuser のホームディレクトリのセキュリティコンテキストを確認すると、以下のようになっています。 $ ls -lZ (…

SELinux を頑張る-その6

SELinux

おつかれさまです。 前回、unconfined ポリシを、以下のように削除してみましたよね。 # semodule -d unconfined ここで、システムのリラベルを実行すると、システム再起動を繰り返す、という問題を発見しました。 # touch /.autorelabel # shutdown -r now …

SELinux を頑張る-その5

SELinux

ちょっと前回は、やりすぎた感があります。 デフォルトの SELinux ユーザーを unconfined_u にする前(ユーザーをロックダウンする前)まで戻りました。 では、root ユーザの SELinux ログイン設定を、unconfined_u に戻しましょう。 # semanage login -m -s…

SELinux を頑張る-その4

SELinux

では、次に、ユーザーを作成した時に、staff_u をデフォルトにしましょう。 # semanage login -m -s staff_u __default__ 設定を確認します。 # semanage login -l (表示)ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名__default__ staff_u s0 *roo…

SELinux を頑張る-その3

SELinux

次は、ユーザーについてロックダウンしていくことを検討しましょう。 ユーザーについての現在の設定を確認する。 # semanage login -l================ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名__default__ unconfined_u s0-s0:c0.c1023 *root u…

SELinux を頑張る-その2

SELinux

では、strict ポリシに近づけていきます。 ところで、<user> ユーザーが、wheel グループに入ったままなので、抜きます。以下のコマンドにより可能です。 # gpasswd -d <user> group では、実行します。 # gpasswd -d <user> wheel まずは、unconfined モジュールを削除します</user></user></user>…

SELinux を頑張る-その1

SELinux

Fedora28 で initrc_t からドメイン遷移するドメインがどれくらいのあるかを調べます。 # sesearch -T -s initrc_t | wc -l3125 カウントするのをやめると、以下のように出力されます。 # sesearch -T -s initrc_ttype_transition initrc_t NetworkManager_e…

CentOS 7.4 を VirtualBox に作成して SHIRASAGI-hardening をインストールする方法

CentOS SELinux SHIRASAGI

minimal をダウンロード。インストールしてから、curl は入っているので、以下でできる。$ curl -sO https://raw.githubusercontent.com/intrajp/shirasagi-hardening/master/install.sh# bash install.shそして、systemctl get-default として、graphical.t…

SHIRASAGI-hardening を CentOS 7.4 に対応させました

SHIRASAGI CentOS SELinux

SHIRASAGI-hardening を、CentOS 7.4 に対応させました。 インストールテストもしました。って、それ以上が分からないけど、今度、勉強します。 http://localhost:3000/.mypage アカウント:admin パスワード:pass で、テストページが表示できましたぁ。 ht…

SHIRASAGI-hardening の新たな機能のアイディアについて

SHIRASAGI CentOS SELinux

お疲れさまです、私 です。 SHIRASAGI-hardening のインストーラーは、直していますが、使用されているパッケージが新しくなったりした場合には、きつくなると思いますので、RPM 化を考えています。 何かありましたら、お願いします。

SHIRASAGI-hardening のさらなる修正

SHIRASAGI CentOS SELinux

SHIRASAGI-hardening インストーラーですが、1度実行していて、2度目に実行しても変にならないように直しました。 その他、さらなる関数化等、取り組んでみました。 何かありましたら、お知らせください。 github.com

SHIRASAGI-hardening の修正

SHIRASAGI SELinux CentOS

お疲れさまです。私 です。 SHIRASAGI-hardening のインストーラーですが、多少直しました。 コマンドが失敗したら、そこで止まるようにはすでに何ヵ所かしていたのですが、それをもっと増やしてみました。 というのも、あるところでエラーになっていたのに…

SELinux が有効で動作する、SHIRASAGI インストーラーの話

SHIRASAGI SELinux CentOS

こんにちは、私です。 SHIRASAGI は、オープンソースの CMS ですが、 付属しているインストーラーは、CentOS 用のものといえ、SELinux を有無を言わさず無効にする、というものです。 これに疑問を持った私は、逆に、SELinux が有効なら動くインストーラーを…

SELinux の有用性を証明した話

SELinux

Docker 0-Day Stopped Cold by SELinux – Red Hat Enterprise Linux Blog