SELinux (Security-Enhanced Linux) to implementacja elastycznej architektury opartej na rolach, obowiązkowej kontroli dostępu (MAC) w systemie Linux poprzez modyfikacje jądra i narzędzia użytkownika. Służy głównie do ograniczania procesów systemowych i użytkowników poza podstawowy mechanizm dyskrecjonalnej kontroli dostępu (DAC) lub listę kontroli dostępu, którą można znaleźć w systemach * nix.
Muszę wyłączyć SELinux, ale nie mogę ponownie uruchomić komputera podążyłem za tym linkiem, gdzie otrzymałem poniższe polecenie setenforce 0 Ale po uruchomieniu tego polecenia sprawdziłem to sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config...
Czy ktoś wie, który to sebool, aby umożliwić dostęp httpd do zapisu do / home / user / html? Kiedy wyłączam SELinux echo 0 > /selinux/enforce, mogę pisać, więc mój problem jest zdecydowanie związany z SELinux. Po prostu nie wiem, który z nich jest odpowiedni bez otwarcia dużej dziury, a Google...
Kiedy SELinux jest instalowany w systemie, czy jego reguły są egzekwowane przed czy po standardowych uprawnieniach dla Linuksa? Na przykład, jeśli użytkownik Linuksa inny niż root spróbuje zapisać do pliku z uprawnieniem linux, -rw------- root rootczy najpierw zostaną sprawdzone reguły SELinux, czy...
Planuję wrócić do systemu Linux jako komputer stacjonarny. Chciałbym, aby był bardziej bezpieczny. I wypróbuj kilka technik hartowania, zwłaszcza, że planuję uzyskać własny serwer. Jaka byłaby dobra, rozsądna strategia hartowania? Z jakich narzędzi powinienem korzystać - Apparmor, SELinux,...
Gdzieś przeczytałem lub słyszałem (może w kursie LinuxCBT na SELinux ; ale nie jestem pewien), że istnieją internetowe serwery Linux, dla których podane jest również hasło użytkownika root. Serwer Linux jest zahartowany przy użyciu reguł SELinuksa, dzięki czemu każdy może zalogować się z...
Potrzebuję wyjaśnienia / potwierdzenia / opracowania na temat różnych ról, jakie DAC, ACL i MAC odgrywają w zabezpieczeniach plików Linuksa. Po kilku badaniach z dokumentacji, rozumiem stos: SELinux musi umożliwiać dostęp do obiektu pliku. Jeśli ACL pliku (np, setfacl, getfaclza mocowanie ACL)...
Niedawno zainstalowałem Fedorę 14 na moim komputerze domowym i pracowałem nad konfiguracją różnych funkcji związanych z serwerem, takich jak apache, mysql, ftp, VPN, ssh itp. Bardzo szybko wbiegłem do bariery, którą poczułem, gdy odkryłem SELinux, który Nie słyszałem o tym wcześniej. Po...
Próbuję zbudować RPM, który jest ukierunkowany na RHEL4 i 5. W tej chwili dzwonię chconz, %postale wiele wpisów Google mówi „nie tak należy to robić” z bardzo ograniczoną pomocą we właściwy sposób. Zauważyłem również, fixfiles -R mypackage checkże pliki są nieprawidłowe, gdy są prawidłowe (zgodnie...
kiedy próbuję service openvpn start Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf bieganie openvpn devnet-client-vm.confdziała dobrze. Dlaczego openvpn się nie uruchamia? jak mogę to
Chcę uruchomić polecenie w systemie Linux w taki sposób, że nie można utworzyć ani otworzyć żadnych plików do zapisu. Nadal powinien móc normalnie odczytywać pliki (więc pusty chroot nie jest opcją) i nadal móc zapisywać do plików już otwartych (szczególnie standardowe wyjście). Punkty bonusowe,...
Czy jest możliwe, aby moduł bezpieczeństwa Linux (np. AppArmor, SELinux itp.) Pytał użytkownika, gdy aplikacja chce uzyskać dostęp do niejawnych plików lub folderów (podpisów cyfrowych, kluczy SSH, informacji o karcie kredytowej i innych poufnych danych) zamiast po prostu odmowa działania...
Napisałem usługę / pojedynczą aplikację binarną, którą próbuję uruchomić na Fedorze 24, działa przy użyciu systemd, plik binarny jest wdrażany do /srv/bot ta usługa / aplikacja, którą napisałem, musi tworzyć / otwierać / czytać i zmieniać nazwy plików w tym katalogu. Najpierw zacząłem tworzyć...
Przeprowadzam migrację do nowego serwera WWW, na którym skonfigurowano SELinux (z systemem Centos 5.5). Skonfigurowałem go tak, aby mógł bez problemu wykonywać skrypty CGI, ale niektóre starsze skrypty oparte na Perlu nie łączą się ze zdalnymi usługami internetowymi (kanały RSS i tym...
Obecnie rozpoczynam projekt oceniający niezaufane programy (zadania dla studentów) w bezpiecznym środowisku piaskownicy. Główną ideą jest stworzenie aplikacji internetowej dla GlassFish i Java wrappera wokół lxc-utils do zarządzania kontenerami LXC. Będzie miał kolejkę oczekujących programów, a...
Krótka wersja: Jaki jest najbezpieczniejszy sposób, aby umożliwić Java 7 uruchomienie na (z?) SELinux? Długa wersja: Z góry przepraszam, jeśli użyję niepoprawnej terminologii. Naprawdę jestem tylko programistą Java z niewielką ilością umiejętności obsługi Linuksa. Właśnie zainstalowałem Javę 7...
Zamknięte. To pytanie jest nie na temat . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby było na temat wymiany stosów Unix i Linux. Zamknięte 3 lata temu . Chcę nauczyć się SELinuksa na wysokim poziomie,...
Jestem nowy w SELinux. pochodzi z Debiana. Chcę dać httpddostęp do katalogu. Przeglądarka alertów SELinux sugeruje: # grep httpd /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp Nie mogłem zrozumieć, jak działa to polecenie. Nigdzie nie podam ścieżki katalogu. skąd wie,...
chconOstatnio dużo napisałem, ale jeśli dobrze to zrozumiem, zostaną one usunięte przy następnym oznakowaniu. Czy jest jakiś sposób na utrwalenie obecnych kontekstów (najlepiej tuż pod określonym katalogiem)? Rozumiem, że można to zrobić za pomocą semanage, ale oznacza to przeglądanie i sprawdzanie...
Po skierowaniu „ man ls” pokazuje „ ls -Z” może wyświetlić kontekst bezpieczeństwa: -Z, --context Display security context so it fits on most displays. Displays only mode, user, group, security context and file name. Wykonując polecenie „ ls -Z”, dane wyjściowe podobają się: [root@localhost...
Używamy SSSD do uwierzytelniania użytkowników na serwerach CentOS. oddjobd-mkhomedir działa doskonale, gdy domyślnym katalogiem osobistym jest / home, ale na konkretnym serwerze musieliśmy zmienić domyślny katalog osobisty na / data, który jest podłączony na SAN. Teraz za każdym razem, gdy...