selinux
ポリシーでdontauditを使ってログを抑制している場合がある。そのときは次のようにして設定を無効化できる。# cd /etc/selinux/targeted/src/policy # make enableaudit # make reloadまた、次の手順で再び抑制することができる。# cd /etc/selinux/targeted…
あるディレクトリにファイルを作成するPerlスクリプトをCGI経由で実行するときにその挙動がSELinux的に許可されていないときのpermissiveモードでのログは次のような感じ。 audit(1153293699.464:19): avc: denied { write } for pid=28742 comm="test.cgi" …
日経Linux 2005 4がなかった。しょぼーん。まあ、これはなくてもなんとかならんこともないから5へ。
Emacs のようにファイル上書き時に既存のファイルを一旦削除して新しいファイルを作成するような実装をもつエディタでは、ファイル上書き時にファイルのタイプを変更してしまう場合がある。例えば、ファイル自体に付与されているタイプとそのファイルが格納…
ファイルを新規作成したときは、その場所(ディレクトリ)で指定されているタイプになる。cp によるコピーは、コピー先に新規作成した場合と同様。mv による移動は移動前のタイプをそのまま保持する。要するに、実体がどうなっているのかということか。新規作…
restorecon(8) か fixfiles(8) を用いる。後者は全てのファイルに対して再付与を行う。
/etc/selinux/config 内の SELINUXTYPE の値で決める。また、TE で用いるファイルのタイプは /etc/selinux/${SELINUXTYPE}/contexts/files/file_contexts ファイルに記述されている。
SELinux の動作モードには次の二つがある。 permissive enforcing 前者は SELinux の設定でアクセス拒否が行われる場合でも実際にはアクセスは許可し、ログだけを残す。要するに検証、デバッグ用モードということか。後者は実際にアクセス制御が行われる。そ…
遅ればせながら SELinux の勉強をしてみようと思い、日経 Linux 2005 2 から連載されている「使って覚える SELinux 」で勉強。忘れそうなことをここ(何処)にメモしていくつもりです。私が忘れそうなことをメモしているだけなので、包括的な勉強のための資料…