«selinux» 태그된 질문

SELinux (Security-Enhanced Linux)는 커널 수정 및 사용자 도구를 통해 Linux에서 유연한 역할 기반의 필수 액세스 제어 (MAC) 아키텍처를 구현합니다. 주로 nix 시스템에있는 기본 DAC (Discretionary Access Controls) 메커니즘 또는 액세스 제어 목록 이외의 시스템 프로세스 및 사용자를 제한하는 데 사용됩니다.

6
다시 시작하지 않고 SELinux를 비활성화하는 방법은 무엇입니까?
SELinux를 비활성화해야하지만 컴퓨터를 다시 시작할 수 없습니다 나는 이 링크를 따랐다. setenforce 0 그러나이 명령을 실행 한 후 나는 그것을 확인했다. sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: disabled Policy version: 24 Policy from config file: targeted 다른 옵션이 있습니까?
50 rhel  selinux 

4
SELinux로 인해 httpd가 폴더 / 파일에 쓸 수 없습니다
누구든지 / home / user / html에 httpd 쓰기 액세스를 허용하는 sebool을 알고 있습니까? SELinux를 비활성화하면 echo 0 > /selinux/enforce쓸 수 있으므로 SELinux와 관련이 있습니다. 큰 구멍을 열지 않고 어느 것이 올바른지 알지 못하며 Google 은별로 도움이되지 않습니다. #[/home]ls -Z drwxr-x---. user apache unconfined_u:object_r:user_home_dir_t:s0 user #sestatus -b Policy booleans: abrt_anon_write …


3
신화 또는 현실 : SELinux는 루트 사용자를 제한 할 수 있습니까?
루트 사용자의 암호도 제공되는 온라인 Linux 서버가 있는지 어딘가에서 읽거나 들었습니다 ( LinuxCBT의 SELinux 과정에 있지만 확실하지는 않습니다). Linux 서버는 SELinux 규칙을 사용하여 강화되어 모든 사용자가 루트 사용자로 로그인 할 수 있지만 OS에 아무런 해를 끼치 지 않습니다. 나에게는 신화처럼 보이지만 나는 확신하고 싶다 : 루트 사용자조차도 특정 악의적 인 …

2
리눅스 박스를 강화하기 위해 무엇을 사용해야합니까? 의류, SELinux, grsecurity, SMACK, chroot?
데스크톱 시스템으로 Linux로 돌아갈 계획입니다. 더 안전하게 만들고 싶습니다. 특히 자체 서버를 확보 할 계획이므로 몇 가지 강화 기술을 시도하십시오. 제정신 강화 전략은 무엇입니까? Apparmor, SELinux, SMACK, chroot 중 어떤 도구를 사용해야합니까? 예를 들어 의류, 또는 위의 조합 중 하나의 도구 만 사용해야합니까? 이 도구에는 어떤 장단점이 있습니까? 다른 사람이 …

3
Linux 파일 보안에서 DAC (파일 권한), ACL 및 MAC (SELinux)의 역할은 무엇입니까?
Linux 파일 보안에서 다른 역할 DAC, ACL 및 MAC에 대한 설명 / 확인 / 세련이 필요합니다. 문서에서 약간의 연구를 한 후에, 이것은 스택에 대한 나의 이해입니다. SELinux는 파일 객체에 대한 액세스를 허용해야합니다. 파일의 ACL을 (예를 들어, 만약 setfacl, getfacl명시 있도록하는 ACL 마운트가) / 개체에 대한 액세스를 거부, 더 이상의 처리가 …

2
SELinux는 번거로운 학습 / 설정 가치가있을만큼 충분한 추가 보안을 제공합니까?
나는 최근에 내 홈 PC에 Fedora 14를 설치하고 아파치, mysql, ftp, vpn, ssh 등과 같은 다른 서버 관련 기능을 설정하기 위해 노력하고 있습니다. 나는 이전에 들어 본 적이 없습니다. 약간의 연구를 한 후에는 대부분의 사람들이 당신이 그것을 비활성화하고 번거 로움을 다루지 않아야한다고 생각하는 것처럼 보였습니다. 개인적으로 더 많은 보안을 추가한다면 …

1
RPM .spec에서 SELinux 컨텍스트를 설정하는 올바른 방법은 무엇입니까?
RHEL4와 5를 대상으로하는 RPM을 만들려고합니다. 지금 전화 chcon를 걸지만 %post여러 Google 항목에서 "그렇게해야 할 방법이 아닙니다"라는 말이 올바른 방법으로 제한되어 있습니다. 또한 fixfiles -R mypackage check파일이 정확할 때 파일이 잘못되었다는 것을 알았 습니다 (예상대로; RPM DB는 내가 원하는 것을 인식하지 못합니다). 그것 때문에 내가 특별히 RHEL4 말을 하지 가 semanage그것을 …
14 compiling  rpm  selinux 


8
프로세스가 파일을 쓰지 못하게하는 방법
쓸 파일을 만들거나 열 수없는 방식으로 Linux에서 명령을 실행하고 싶습니다. 여전히 파일을 정상적으로 읽을 수 있고 (빈 chroot는 옵션이 아님) 이미 열려있는 파일 (특히 stdout)에 쓸 수 있어야합니다. 특정 디렉토리 (예 : 현재 디렉토리)에 파일을 쓰는 경우 보너스 포인트가 여전히 가능합니다. 프로세스 로컬 인 솔루션을 찾고 있는데, 즉 전체 시스템에 …

3
Linux 보안 거부시 사용자에게 프롬프트
응용 프로그램이 분류 된 파일이나 폴더 (디지털 서명, SSH 키, 신용 카드 정보 및 기타 민감한 항목)에 액세스하려고 할 때 Linux 보안 모듈 (예 : AppArmor, SELinux 등)이 사용자에게 메시지를 표시하도록 할 수 있습니까? 바람직 할 수있는 애플리케이션의 동작 거부 (예를 들어, 사용자의 요청에 따라 이메일에 서명하고자하는 이메일 클라이언트). 취약한 …

1
사용자 정의 SELinux 레이블을 작성하는 방법
Fedora 24에서 실행하려고하는 서비스 / 단일 바이너리 앱을 작성했습니다 .systemd를 사용하여 실행되며 바이너리는 /srv/bot 내가 작성한이 서비스 / 앱은이 디렉토리에서 파일을 생성 / 열기 / 읽기 및 이름을 변경해야합니다. 먼저 SELinux를 기반으로 새 정책을 작성하기 시작했습니다 . 프로세스가 특정 디렉토리에 파일을 작성하도록 허용 그러나 내 앱의 이름을 바꿔야 할 때 …

1
CGI 스크립트에서 아웃 바운드 연결을 허용하도록 SELinux를 어떻게 구성합니까?
SELinux가 설정된 새 웹 서버로 마이그레이션하고 있습니다 (Centos 5.5 실행). 문제없이 CGI 스크립트를 실행할 수 있도록 설정되었지만 일부 이전 Perl 기반 스크립트는 원격 웹 서비스 (RSS 피드 등)에 연결하지 못했습니다. 실행 : grep perl /var/log/audit/audit.log제공 : type = SYSCALL msg = audit (1299612513.302 : 7650) : arch = 40000003 syscall …
10 centos  selinux 

2
SELinux에서 oddjobd-mkhomedir이 비표준 위치에 사용자 홈 디렉토리를 작성할 수 없음
CentOS 서버에서 사용자를 인증하기 위해 SSSD를 사용하고 있습니다. oddjobd-mkhomedir은 기본 홈 디렉토리가 / home 일 때 완벽하게 작동하지만 특정 서버에서는 기본 홈 디렉토리를 / data (SAN 마운트에 있음)로 변경해야했습니다. 이제 사용자가 로그인을 시도 할 때마다 다음 메시지와 함께 bash 쉘에 드롭됩니다. Creating home directory for first.last. Could not chdir to …
9 selinux 

4
selinux를 비활성화하면 무엇이 잘못 될 수 있습니까?
폐쇄되었습니다 . 이 질문은 의견 기반 입니다. 현재 답변을받지 않습니다. 이 질문을 개선하고 싶습니까? 이 게시물 을 편집 하여 사실과 인용으로 답변 할 수 있도록 질문을 업데이트하십시오 . 휴일 삼년 전에 . 우리는 다른 팀으로부터 사용 된 서버를 계승했습니다. 그들 중 일부는 SELinux를 사용하도록 설정했으며 일부는 그렇지 않습니다. SELinux로 인해 …
9 linux  ssh  selinux 

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.