[Momonga-devel.ja:02928] Re: SELinux 関連の新規パケジ

From: TAKAHASHI Tamotsu <tamo@xxxxxxxxxxxxxxxxx>
Date: Mon, 29 Nov 2004 23:54:16 +0900

tamo です。

On Sun, 21 Nov 2004, TAKAHASHI Tamotsu wrote:

> あとは SysVinit にパッチを当ててインストールし、
> fixfiles relabel して再起動すれば
> SELinux が有効になるはずです。

なので、既定では enforcing ではなく permissive
になるように selinux-policy-targeted を変更した上で、
SELinux 対応 SysVinit を commit しました。

(/etc/selinux/config に permissive と書いてあっても
boot 時に kernel へ enforcing=1 を渡してやれば
enforcing になるはずです。逆に enforcing にして
起動しなくなったら kernel に enforcing=0 を渡して
permissive にすれば起動するはずです。)

label については、最初に fixfiles relabel しても
その後 rpm で色々入れると context が付いてくれなくて
困るので、rpm の --without-selinux を外して
commit しました。

それでも rpm を介さずに入れたライブラリ
(e.g. nVidia ドライバ) には context が付かないので
enforcing で ldconfig.te が入っていると
ldconfig できなくなったりします。ので、
selinux-policy-targeted には ldconfig.te を
入れないことにしました。

本来は、そういうことで困るとしても
setenforce 0 でごまかして後から setfiles
とかいうのが正しいのでしょうが、そもそも私はまだ
(pam を SELinux 対応にするのが難しそうなので)
ユーザの role とかローカルコマンドのアクセス制限は
考えていません。
リモート関連のサーバだけアクセス制限してやろう
という感じになっていますのでご了承ください。

# もちろん、ローカルまで
# ちゃんとやってくれる人がいれば大歓迎。


> (例えば minilogd が /dev/urandom を読もうとして
> 叱られたりします。[grep avc /var/log/messages])

urandom を読んでもセキュリティがヤバくなることは
ないだろうということで、allow してやりました。

文法については詳しくないのですが、
audit2allow -d を適当な .te にコピペすれば
良いみたいです。(危ない初心者だなぁ)


では、すみませんが今日はこれで寝ますので
不具合があったら適当に巻き戻したりしてください。
-- 
tamo

References:
- [Momonga-devel.ja:02916] SELinux 関連の新規パケジ
  - From: TAKAHASHI Tamotsu

Prev by Date: [Momonga-devel.ja:02927] amaroK 1.2-beta1
Next by Date: [Momonga-devel.ja:02929] kernel 2.6.9-11m
Previous by thread: [Momonga-devel.ja:02916] SELinux 関連の新規パケジ
Next by thread: [Momonga-devel.ja:02917] openssh の修正は間違いでした
Index(es):
- Date
- Thread