SELinux

SELiuxができること

あるプログラムにセキュリティーホールがあっても、 被害及ぶ範囲(プロセス用ドメイン)に限定させることができる

やりたいこと

デフォルトのアクセスポートを閉じる

内部ではMySQLのクラスタ用のポートを空けておく

コマンド

SELinuxの有効確認

getenforce

SELinuxを一時的に解除

setenforce Permissive

SELinuxを有効

setenforce Enforcing

Zコマンド

なにかとSELinuxはZオプションがつきます。

lsコマンド

ls -Z

psコマンド

ps -efZ

ファイルの移動

ディレクトリごとに、コンテキストの定義があるので、

ファイル移動などしたあとは、restorecon コマンドで調整が必要なようです。

restorecon -R /var/www/html

 

タイプの変更

chcon -R -t httpd_sys_rw_content_t /var/tmp/sample-cache

本来のサービス提供用ポートじゃないポートで動作させる

semanage port -a -t ssh_port_t -p tcp 2022

ログ

SELinux で動作が拒否された場合、/var/log/audit/audit.log にログが出力されます。

ポリシーファイル

ポリシーファイル作成準備

selinux-policy-devel selinux-policy-doc パッケージを導入しておきましょう。

sepolicy generate --application -n boltzmessenger_gateway boltzmessenger

参考サイト

http://blog.fenrir-inc.com/jp/2016/09/selinux.html

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-04-26 (水) 18:23:12 (571d)