คำถามติดแท็ก selinux

SELinux (Security-Enhanced Linux) คือการนำสถาปัตยกรรมการควบคุมการเข้าถึง (MAC) ตามบทบาทที่ยืดหยุ่นมาใช้บน Linux ผ่านการปรับเปลี่ยนเคอร์เนลและเครื่องมือสำหรับผู้ใช้ โดยหลักแล้วจะใช้เพื่อ จำกัด กระบวนการของระบบและผู้ใช้นอกเหนือจากกลไกการควบคุมการเข้าถึงพื้นฐาน (DAC) หรือรายการควบคุมการเข้าถึงที่พบในระบบ * nix

6
วิธีการปิดการใช้งาน SELinux โดยไม่ต้องรีสตาร์ท?
ฉันต้องปิดการใช้งาน SELinux แต่ไม่สามารถรีสตาร์ทเครื่องได้ ฉันตามลิงค์นี้ที่ฉันได้รับคำสั่งร้อง setenforce 0 แต่หลังจากรันคำสั่งนี้ฉันได้ตรวจสอบแล้ว sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: disabled Policy version: 24 Policy from config file: targeted มีตัวเลือกอื่น ๆ อีกไหม?
50 rhel  selinux 

4
httpd ไม่สามารถเขียนไปยังโฟลเดอร์ / ไฟล์เนื่องจาก SELinux
มีใครรู้บ้างว่า sebool ตัวใดที่อนุญาตให้ httpd เขียนการเข้าถึง / home / user / html เมื่อฉันปิดการใช้งาน SELinux echo 0 > /selinux/enforceฉันสามารถเขียนได้ดังนั้นปัญหาของฉันจึงเกี่ยวข้องกับ SELinux ฉันไม่รู้ว่าอันไหนที่ถูกต้องโดยไม่ต้องเปิดช่องใหญ่และ Google ไม่ได้ช่วยอะไรมาก #[/home]ls -Z drwxr-x---. user apache unconfined_u:object_r:user_home_dir_t:s0 user #sestatus -b Policy booleans: abrt_anon_write off abrt_handle_event off allow_console_login on allow_cvs_read_shadow off allow_daemons_dump_core on allow_daemons_use_tcp_wrapper off allow_daemons_use_tty on allow_domain_fd_use on allow_execheap off …

1
มีการบังคับใช้กฎ SELinux ก่อนหรือหลังสิทธิ์มาตรฐานของ linux หรือไม่
เมื่อติดตั้ง SELinux บนระบบจะมีการบังคับใช้กฎก่อนหรือหลังสิทธิ์มาตรฐานของ linux หรือไม่ ตัวอย่างเช่นหากผู้ใช้ที่ไม่ใช่รูทลินุกซ์พยายามเขียนลงไฟล์ที่มีสิทธิ์ลินุกซ์-rw------- root rootจะทำการตรวจสอบกฎ SELinux ก่อนหรือจะใช้สิทธิ์ระบบไฟล์มาตรฐานและ SELinux ไม่เคยเรียกใช้หรือไม่

3
ตำนานหรือความจริง: SELinux สามารถ จำกัด ผู้ใช้รูทได้หรือไม่
ฉันอ่านหรือได้ยินที่ไหนสักแห่ง (อาจเป็นในหลักสูตร SELinux ของ LinuxCBTแต่ฉันไม่แน่ใจ) ว่ามีเซิร์ฟเวอร์ Linux ออนไลน์ที่ให้รหัสผ่านของผู้ใช้รูทด้วย เซิร์ฟเวอร์ Linux ถูกทำให้แข็งโดยใช้กฎ SELinux เพื่อให้ทุกคนสามารถเข้าสู่ระบบด้วยผู้ใช้รูท แต่ไม่สามารถทำอันตรายต่อระบบปฏิบัติการได้ ดูเหมือนว่าจะเป็นตำนานสำหรับฉัน แต่ฉันต้องการตรวจสอบให้แน่ใจว่า: เป็นไปได้ไหมที่จะทำให้กล่อง Linux แข็งขึ้น (อาจมี SELinux) เช่นนี้แม้แต่ผู้ใช้รูทก็ไม่สามารถทำกิจกรรมที่เป็นอันตรายกับมันได้ (ตัวอย่าง: การลบไฟล์ระบบการล้างไฟล์บันทึกการหยุดบริการที่สำคัญ ฯลฯ ) เช่นกล่อง Linux จะเป็นจุดเริ่มต้นที่ดีสำหรับการสร้างhoneypot แก้ไข: ขึ้นอยู่กับคำตอบ (ตอนนี้ถูกลบ) และ Googling นิดหน่อยฉันมีลิงก์อย่างน้อยสองลิงก์ซึ่งชี้ไปยังเซิร์ฟเวอร์ Linux ที่แข็งตัวดังกล่าว น่าเสียดายที่เซิร์ฟเวอร์ทั้งสองไม่ทำงาน สำหรับบันทึกฉันจะคัดลอกคำอธิบายที่นี่: 1) จากhttp://www.coker.com.au/selinux/play.html : เข้าถึงรูทฟรีบนเครื่อง SE Linux! ในการเข้าถึง Debian ของฉันเพื่อเล่นplay.coker.com.auในฐานะรูทรหัสผ่านคือ ... โปรดทราบว่าเครื่องดังกล่าวต้องใช้ทักษะจำนวนมากหากคุณเรียกใช้พวกเขาประสบความสำเร็จ …

2
สิ่งที่ใช้ในการทำให้กล่อง Linux แข็งตัว Apparmor, SELinux, grsecurity, SMACK, chroot?
ฉันวางแผนที่จะกลับไปที่ Linux เป็นเครื่องเดสก์ท็อป ฉันต้องการทำให้มันปลอดภัยยิ่งขึ้น และลองใช้เทคนิคการชุบแข็งโดยเฉพาะอย่างยิ่งเนื่องจากฉันวางแผนที่จะรับเซิร์ฟเวอร์ของตัวเอง อะไรจะเป็นกลยุทธ์การชุบแข็งที่ดี ฉันควรใช้เครื่องมือใด - Apparmor, SELinux, SMACK, chroot ฉันควรใช้เครื่องมือเดียวเช่น Apparmor หรือการรวมกันของข้างต้น? เครื่องมือเหล่านี้มีข้อดี / ข้อเสียใดบ้าง มีคนอื่นบ้างไหม? ซึ่งมีการกำหนดค่าสติเพื่อความปลอดภัย (ปรับปรุง) อัตราส่วน ฉันจะเลือกใช้อันไหนในระบบเดสก์ท็อป เป็นที่หนึ่งในสภาพแวดล้อมเซิร์ฟเวอร์ มีคำถามมากมาย

3
DAC (สิทธิ์ของไฟล์), ACL และ MAC (SELinux) มีบทบาทอะไรในการรักษาความปลอดภัยของไฟล์ Linux?
ฉันต้องการชี้แจง / ยืนยัน / ทำอย่างละเอียดเกี่ยวกับบทบาทที่แตกต่างกันของ DAC, ACL และ MAC ในการรักษาความปลอดภัยไฟล์ Linux หลังจากการวิจัยจากเอกสารประกอบนี่เป็นความเข้าใจของฉันเกี่ยวกับสแต็ก: SELinux ต้องอนุญาตให้คุณเข้าถึงวัตถุไฟล์ หาก ACL ของไฟล์ (เช่นsetfacl, getfaclการติด ACL) ชัดเจนให้ / ปฏิเสธการเข้าถึงวัตถุแล้วการประมวลผลต่อไปไม่จำเป็นต้องมี มิฉะนั้นจะขึ้นอยู่กับการอนุญาตของไฟล์ (โมเดล rwxrwxrwx DAC) ฉันพลาดอะไรไปรึเปล่า? มีสถานการณ์ที่นี่ไม่ใช่กรณีหรือไม่

2
SELinux มีการรักษาความปลอดภัยเพิ่มเติมเพียงพอที่จะคุ้มค่ากับความยุ่งยากในการเรียนรู้ / การตั้งค่าหรือไม่?
ฉันเพิ่งติดตั้ง Fedora 14 บนพีซีที่บ้านของฉันและทำงานเกี่ยวกับการตั้งค่าคุณสมบัติต่าง ๆ ของเซิร์ฟเวอร์เช่น apache, mysql, ftp, vpn, ssh และอื่น ๆ ฉันวิ่งเร็วมากจนรู้สึกเหมือนเมื่อฉันค้นพบ SELinux ฉันไม่เคยได้ยินมาก่อน หลังจากทำวิจัยดูเหมือนว่าคนส่วนใหญ่มีความเห็นว่าคุณควรปิดการใช้งานและไม่จัดการกับความยุ่งยาก โดยส่วนตัวถ้ามันเพิ่มความปลอดภัยมากขึ้นฉันไม่ได้ต่อต้านการจัดการกับอาการปวดหัวของการเรียนรู้วิธีการตั้งค่าอย่างเหมาะสม ในที่สุดฉันวางแผนที่จะเปิดเครือข่ายของฉันเพื่อให้พีซีเครื่องนี้สามารถเข้าถึงได้จากระยะไกล แต่ฉันไม่ต้องการที่จะทำเช่นนั้นจนกว่าจะถึงเวลาที่ฉันมั่นใจว่ามันปลอดภัย (มากหรือน้อย) หากคุณตั้งค่าและรับมันทำงานอย่างถูกต้องคุณรู้สึกว่ามันคุ้มค่าเวลาและความยุ่งยาก? ปลอดภัยกว่าหรือไม่ หากคุณเลือกที่จะไม่ใช้การตัดสินใจนั้นก็ขึ้นอยู่กับการวิจัยที่มีมูลค่าการพิจารณาในสถานการณ์ของฉันเช่นกัน?

1
วิธีที่เหมาะสมในการตั้งค่าบริบท SELinux ใน RPM เป็นอย่างไร
ฉันกำลังพยายามสร้าง RPM ที่มีเป้าหมาย RHEL4 และ 5 ตอนนี้ฉันโทรchconจาก%postแต่หลาย ๆ รายการของ Google บอกว่า "นั่นไม่ใช่วิธีที่คุณควรจะทำ" ด้วยความช่วยเหลือที่ จำกัด อย่างถูกวิธี ฉันยังสังเกตเห็นfixfiles -R mypackage checkว่าไฟล์ผิดเมื่อมันถูกต้อง (อย่างที่คาดไว้; RPM DB ไม่รู้ว่าฉันต้องการอะไร) .. ฉันเฉพาะพูด RHEL4 เพราะมันไม่ได้มีsemanageซึ่งดูเหมือนว่าจะเป็นหนึ่งในวิธีการที่เหมาะสมที่จะทำมัน (เพิ่มนโยบายใหม่แล้วเรียกใช้restoreconในไดเรกทอรีของคุณ%post) ฉันไม่ต้องการบริบทของตัวเองเพียงแค่httpd_cache_tในไดเรกทอรีที่ไม่ได้มาตรฐาน ฉันได้เห็นด้วย "ให้cpioดูแลมันด้วย" - แต่แล้วฉันก็มีปัญหาใหม่ที่ผู้ใช้งานสร้างที่ไม่ใช่รูท RPM ไม่สามารถทำงานchconในไดเรกทอรีสร้างได้ ฉันโกงและมีsudoในไฟล์ข้อมูลจำเพาะ แต่ดูเหมือนจะไม่สำคัญ
14 compiling  rpm  selinux 

5
openvpn []: ข้อผิดพลาดของตัวเลือก: ใน [CMD-LINE]: 1: เกิดข้อผิดพลาดในการเปิดไฟล์กำหนดค่า
เมื่อพยายาม service openvpn start Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf ทำงานopenvpn devnet-client-vm.confได้ดี ทำไม openvpn ไม่เริ่มทำงาน ฉันจะแก้ไขได้อย่างไร

8
วิธีป้องกันไม่ให้กระบวนการเขียนไฟล์
ฉันต้องการเรียกใช้คำสั่งบน Linux ด้วยวิธีที่ไม่สามารถสร้างหรือเปิดไฟล์ใด ๆ เพื่อเขียน มันควรจะสามารถอ่านไฟล์ได้ตามปกติ (ดังนั้น chroot ที่ว่างเปล่าไม่ใช่ตัวเลือก) และยังสามารถเขียนไปยังไฟล์ที่เปิดอยู่แล้ว (โดยเฉพาะ stdout) คะแนนโบนัสหากการเขียนไฟล์ไปยังไดเรกทอรีที่แน่นอน (เช่นไดเรกทอรีปัจจุบัน) ยังคงเป็นไปได้ ฉันกำลังมองหาวิธีแก้ปัญหาที่เป็นกระบวนการในท้องถิ่นนั่นคือไม่เกี่ยวข้องกับการกำหนดค่าสิ่งต่าง ๆ เช่น AppArmor หรือ SELinux สำหรับทั้งระบบหรือสิทธิพิเศษระดับราก มันอาจเกี่ยวข้องกับการติดตั้งโมดูลเคอร์เนลของพวกเขาแม้ว่า ฉันกำลังดูความสามารถและสิ่งเหล่านี้จะดีและง่ายถ้ามีความสามารถในการสร้างไฟล์ ulimit เป็นอีกวิธีหนึ่งที่สะดวกถ้าครอบคลุมกรณีการใช้งานนี้

3
ผู้ใช้ที่พร้อมรับคำสั่งปฏิเสธความปลอดภัยของ Linux
เป็นไปได้ไหมที่จะสร้างโมดูลความปลอดภัยของ Linux (เช่น AppArmor, SELinux เป็นต้น) แจ้งให้ผู้ใช้เมื่อแอปพลิเคชันต้องการเข้าถึงไฟล์หรือโฟลเดอร์ที่จัดประเภท (ลายเซ็นดิจิทัล, คีย์ SSH, ข้อมูลบัตรเครดิตและสิ่งอื่น ๆ ที่มีความละเอียดอ่อน) แทน ปฏิเสธการทำงานของแอปพลิเคชันซึ่งอาจเป็นที่ต้องการ (เช่นไคลเอนต์อีเมลที่ต้องการลงชื่ออีเมลตามคำขอของผู้ใช้) มันจะเป็นประโยชน์ในการตั้งค่านโยบายความปลอดภัยเริ่มต้นที่เข้มงวดสำหรับแอปพลิเคชันที่มีช่องโหว่ (โดยเฉพาะเว็บเบราว์เซอร์และไคลเอนต์อีเมล) และให้ผู้ใช้ตัดสินใจว่าจะดำเนินการตามที่ต้องการหรือไม่ดังนั้นช่องโหว่ของระบบ เป็นมิตร

1
วิธีสร้างฉลาก SELinux ที่กำหนดเอง
ฉันเขียนบริการ / แอพไบนารีตัวเดียวที่ฉันพยายามเรียกใช้บน Fedora 24 มันทำงานโดยใช้ systemd ไบนารีถูกปรับใช้ /srv/bot บริการ / แอพนี้ที่ฉันเขียนต้องสร้าง / เปิด / อ่านและเปลี่ยนชื่อไฟล์ในไดเรกทอรีนี้ ฉันเริ่มสร้างนโยบายใหม่โดยใช้SELinux: อนุญาตให้กระบวนการสร้างไฟล์ใด ๆ ในไดเรกทอรีหนึ่ง แต่เมื่อแอพของฉันจำเป็นต้องเปลี่ยนชื่อเอาต์พุตมีคำเตือน: #!!!! WARNING: 'var_t' is a base type. allow init_t var_t:file rename; ฉันไปรอบ ๆ และพบว่าฉันควรใช้ป้ายกำกับ SELinux ที่เฉพาะเจาะจงมากกว่าประเภทฐาน แต่ตัวอย่างทั้งหมดออนไลน์แสดงฉลากที่มีอยู่จาก httpd / nginx / etc ให้คุณเห็น มีวิธีที่ฉันสามารถสร้างป้ายกำกับที่กำหนดเองสำหรับแอปของฉันเองได้หรือไม่ ความคิดของฉันคือการสร้างบางสิ่งบางอย่างเช่น myapp_var_t ใช้ semanage fcontext …

1
ฉันจะกำหนดค่า SELinux เพื่ออนุญาตการเชื่อมต่อขาออกจากสคริปต์ CGI ได้อย่างไร
ฉันกำลังย้ายไปยังเว็บเซิร์ฟเวอร์ใหม่ที่มีการตั้งค่า SELinux (ใช้งาน Centos 5.5) ฉันได้ตั้งค่าไว้แล้วเพื่อให้สามารถเรียกใช้งานสคริปต์ CGI ได้โดยไม่มีปัญหา แต่สคริปต์เก่าที่ใช้ Perl บางตัวไม่สามารถเชื่อมต่อกับเว็บเซอร์ระยะไกล (ฟีด RSS และอื่น ๆ ) วิ่ง: grep perl /var/log/audit/audit.logให้: ประเภท = SYSCALL msg = การตรวจสอบ (1299612513.302: 7650): arch = 40000003 syscall = 102 สำเร็จ = no exit = -13 a0 = 3 a1 = bfb3eb90 a2 = 57c86c a3 …
10 centos  selinux 

2
SELinux ไม่อนุญาตให้ oddjobd-mkhomedir สร้างไดเรกทอรีผู้ใช้ในตำแหน่งที่ไม่ได้มาตรฐาน
เรากำลังใช้ SSSD เพื่อตรวจสอบผู้ใช้บนเซิร์ฟเวอร์ CentOS oddjobd-mkhomedir ทำงานได้อย่างสมบูรณ์แบบเมื่อโฮมไดเร็กตอรี่เริ่มต้นคือ / home, แต่บนเซิร์ฟเวอร์เฉพาะ, เราต้องเปลี่ยนโฮมไดเร็กตอรี่เริ่มต้นเป็น / data, ซึ่งอยู่บนเมาท์ SAN. ตอนนี้ทุกครั้งที่ผู้ใช้พยายามเข้าสู่ระบบพวกเขาจะถูกทิ้งลงในเปลือกทุบตีด้วยข้อความต่อไปนี้ Creating home directory for first.last. Could not chdir to home directory /data/X.Y.local/first.last: No such file or directory -bash-4.1$ ฉันเห็นข้อความปฏิเสธ AVC ต่อไปนี้ทุกครั้ง: type=AVC msg=audit(1492004159.114:1428): avc: denied { create } for pid=2832 comm="mkhomedir" name="x.y.local" scontext=system_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023 tcontext=system_u:object_r:default_t:s0 tclass=dir …
9 selinux 

4
เกิดอะไรขึ้นถ้าเราปิดใช้งาน selinux
ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน3 ปีที่ผ่านมา เราสืบทอดเซิร์ฟเวอร์ที่ใช้แล้วจำนวนมากจากทีมอื่น บางคนเปิดใช้งาน SELinux แล้วบางตัวไม่เปิดใช้งาน เนื่องจาก SELinux เรากำลังประสบปัญหาในการตั้งค่ารหัสผ่าน ssh แบบไม่ใช้เว็บเซิร์ฟเวอร์ของเรา ฯลฯ เราพบว่ามีการแก้ไขในไซต์ stackexchange นี้ซึ่งจะทำงาน: restorecon -R -v ~/.ssh อย่างไรก็ตามเนื่องจากเราไม่ต้องการให้ SELinux ทำงานในสิ่งที่เราทำมันอาจจะเป็นการง่ายกว่าที่เราจะจำไว้ว่าให้ทุกคนใช้คำสั่ง cmd ข้างต้นกับสิ่งที่ dir ต้องการการอนุญาต เราสามารถปิด SELinux โดยไม่มีผลกระทบใด ๆ ตามถนนหรือดีกว่าเพียงแค่ทำการอิมเมจเซิร์ฟเวอร์อีกครั้งหรือไม่ สิ่งหนึ่งที่ควรทราบ; กลุ่มไอทีของเรายุ่งมากดังนั้นการถ่ายภาพเซิร์ฟเวอร์ไม่สูงในรายการเว้นแต่ว่าจำเป็นจริงๆ (ต้องใช้กรณีธุรกิจที่ดีมาก) ... หรือใครบางคนติดสินบนเจ้านายด้วยขวดสก๊อตหรือวิสกี้ อัปเดต: ขอบคุณสำหรับคำแนะนำและคำแนะนำของทุกคน เซิร์ฟเวอร์เหล่านี้ทั้งหมดจะถูกใช้เป็นเซิร์ฟเวอร์ dev ภายใน จะไม่มีการเข้าถึงเครื่องเหล่านี้จากภายนอกดังนั้นการรักษาความปลอดภัยจึงไม่เป็นปัญหาสำหรับเรา เซิร์ฟเวอร์ปัจจุบันของเราที่เราใช้ทั้งหมด (อย่างสุดความรู้) ไม่ได้เปิดใช้งาน …
9 linux  ssh  selinux 

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.