1read 100read
2011年10月1期LinuxSE (security enhanced) Linux
TOP カテ一覧 スレ一覧 削除依頼 ▼
・ 次のスレ
Linux で GPS,カーナビ Xandros ▼2chでディストリビューションを作ろう!Part3 とうとうLinuxも.NET Framework対応
SE (security enhanced) Linux
1 :04/06/12 〜 最終レス :11/06/04 SE Linux についてのスレです。 利点、問題点、導入に当たっての注意など。 http://www.selinux.jp/ http://www.selinux.gr.jp/ http://www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652
2 : (;´Д`)????
3 : 3ゲトズザ
4 : ('A`)イミワカンネ 要するにパッチだろ?
5 : audit®
6 : とりあえずは乙と生暖かく
7 : >>1 アマゾンには何氏にったんだ? ttp://www.amazon.co.jp/exec/obidos/ASIN/4822221113/
8 : >>4 は?
9 : ユーザ会のOFFまだ〜
10 : ルート晒してる鯖のハックに誰か成功した香具師はいないの?
11 : 成功した時点でニュースになるから安心しろ
12 : 寂れてるな このままじゃ廃れるぞ(w
13 : 日本で、しかも2chでどうなろうと全く影響ナシ。
14 : てst
15 : http://www.nsa.gov/selinux/code/download0.cfm ↑SELinux kernel-2.4.22でも2.6-based SELinuxインストールしちゃって 大丈夫なんでしょうか。
16 : なぜにSEスレ盛り上がらないのだ
17 : >16 多数のユーザー、管理者を抱えるサーバーの運用をしてる人が2chには少ないんだろう。
18 : 導入はしてみたいんだけど、億劫でなぁ
19 : SELinuxは他のPC-UNIXに対するかなりの利点となるはずなのにもったいない。
20 : 伸びねぇなあ
21 : 普通、盛り上げたい人が自演で書き込んだりするもんなんだけどねえ。 SELinuxに通じた人は、そういう2chのテクニックがないのかな。
22 : SEXについて教えてエロイ人と言ってみるw
23 : 新Debianがセキュリティ強化されるようだが http://japan.linux.com/desktop/04/08/11/0136232.shtml それが"フロッピーやCDは自動マウントされない" 程度なのもアホらしいので、DebianユーザにseLinuxを!(ドキュメントの整備を!)
24 : SELinux徹底ガイド ttp://coin.nikkeibp.co.jp/coin/lin/SELinux/index.html って良書ですか?
25 : Trusted Solaris とか SE Linux みたいな「セキュアOS」はまず運用ポリシー ありきなのでドキュメント云々の前に個人レベルとか中小規模では初期導入や 運用のコストにメリットがつり合わない。専門スタッフを自前で用意できる 大規模な組織で無いかぎり普通はコンサルに頼んで導入するもんだと思うよ。 ワークステーションレベルでのセキュリティは >>23 あたりの話で 十分だし、これ以上のことやられてもうっとうしいだけ。
26 : AGEますね
27 : SELinuxを使うとSEが儲かりそうだなー 設定がマンドクサげだし。
28 : http://www.ussg.iu.edu/hypermail/linux/kernel/0408.2/1431.html だそうです
29 : >>28 訳して。
30 : SE Linuxって略するとSExだね。
31 : 競糞
32 : 使ってる奴はおらんかー
33 : 全てはこの検索することをまるで考えていないスレタイが悪い。 Linux板はセンスの欠片も感じられないスレばかり。
34 : もまいら一般人にはノーマルカーネルで十分
35 : SヨLinux
36 : ながながF通でSEやってるけどTrusted Solaris使ってるの見たことない。 なんかとんでもなくマンドクセらしいんじゃ。雨でもさっぱり 売れてないそうなんじゃ。 ましてやLinuxでそんなたいそうなもんなんか誰が使うんだ?
37 : SELinuxもポリシーが穴なら、仏作って魂入れず。
38 : Fedora Core 3からデフォルトでSELinux有効になるから、 そうなるとそれなりに利用者も増えると思うよ。 気づいてて使ってるかどうかは知らないけどね。
39 : そーなると、くだ質にぎやかな悪寒
40 : 予想通り、人居ないですね。 某所で分析されてたんですが、この分析結果は、大体いい線行ってるんでしょうかね?。 少々古いですが... http://www.ipa.go.jp/security/fy13/report/secure_os/1_Summary.pdf SELinux B1 相当 TrustedBSD B1 相当 OpenBSD C1 相当 PitBull Foundation B1 相当 (ITSEC E3 認定) PitBull LX C2 相当 hp virtualvault B3 相当 hp secure OS software for Linux C2 相当 Openwall C1 相当 Trusted Solaris B1 相当 (EAL4 に認定) LOMAC C2 相当 LIDS C2 相当 Medusa DS9 B1 相当 RSBAC B1 相当
41 : http://www.selinux.gr.jp/topic.html#20041104 --- SELinux BOF 「SELinuxナイト」開催要領-- 主催:日本SELinuxユーザ会準備委員会 日経Linux 日時:11月30日(火) 場所:青山スパイラルホール 地図: http://ac.nikkeibp.co.jp/linux/security2004/images/map.gif 時間:18:00〜20:00 参加費:無料 プログラム(仮) ● 18:00-18:05 - 主催者から一言 > 日本SELinuxユーザ会準備委員会 > 日経Linux ● 18:05-19:05セッション1 - SELinuxの最新動向(仮) 日本SELinuxユーザ会準備委員会 中村雄一(代理:日立ソフト 才所秀明) - SELinuxカーネルハッキング(仮) NEC 海外浩平 - 商用セキュアOSとSELinux(仮) 日本高信頼システム 田口裕也 ● 19:10-19:46 セッション2 - なぜSELinuxの設定はむずかしいのか(仮) 日本SELinuxユーザ会準備委員会 女部田武史 - 現場からみたSELinux(仮) 日本オープンソース推進機構 小島浩之 ● 19:46-20:00 フリーディスカッション
42 : >>41 講演担当者のジエンキター
43 : 唐揚よりはまし
44 : 試しにgentooで使ってみてるけど、設定面倒だね。 まだ、enforceなんて出来ない。 gentoo特有(多分)の罠として、 udev使ってると、/devがramfsなのではまる。
45 : これ有効にしたら重くなる?
46 : >>45 あまり気にならないけど。 FC3でちゃんとSELinuxの機能使う人はどれぐらいいるんだろう。
47 : >>46 インストールのとき速攻でオフにしちゃった メジャーなディストリで標準搭載されたのはFedoraが初めてなので 急速にノウハウが蓄積されていくかもしれんし、RedHatあたりがGtk+使って GUI設定ツールを書いてくれる可能性もある。 「よく分からない場合は切っとけ」で済まされる場合のほうが多そうだが...
48 : Windowsでいうところのパーソナルファイアウォール相当のこと (netfilter/iptablesでやるパケットフィルタだけじゃなくて、アプリレベルでの 細かい通信制御)をSELinuxでできんかなと妄想してる。 もちろん機能には十分すぎるんだが、それを簡単に設定するための フロントエンドをどう作るかが問題。
49 : >>48 人気でそうだ。つーか俺も欲しい。
50 : >>48 デーモンの動いてるドメインとnode/portを対応させれば可能。 但し、ポリシーコンパイラがしょぼいので、書くのは大変…。 おまけにnode/port関連の性能ボトルネックがひどいんだよなぁ…。
51 : 初めて触ってみたが、結構概念が難しい。 SELinux を使いこなせるようになる道のりは遠い感じ。 で、こんなに難しいと普通のSEじゃ手が出ないので 余り普及しない(または使われない)悪寒。
52 : デフォルト有効なのかよ! これから勉強がたいへんだ
53 : 概念自体はそれほど難しくないんじゃない? 設定がたまらなく面倒だけど。 FC3ってデフォルトenforceモードなの?
54 : これ、テスト用のマシンを用意して勉強しないといけないほど難しい?
55 : FC3についてのちょっとした紹介 ttp://www.itmedia.co.jp/enterprise/articles/0411/15/news046.html
56 : >>54 デフォルト有効と言ってもTargetポリシーだし、 自分が挙動に詳しいアプリケーションから設定を追加していけば いいんではないでしょうか? 本当はポリシーコンパイラの記述能力が低いのが悪いと思うんだけどね。
57 : 最低限必要なサービスだけにしておかないと、定義が死ぬほど面倒くさい。 FC3がどんなかわからないけど、普通のサーバなら、 危険性があるやつだけ設定するって言うのは良いかもね。
58 : >>51 SEがつかえないSE Linux 語呂合わせにもならねぇ(w
59 : これ使えないと負け組みですか?NSAに勝ちたいです。
60 : >>59 使うと自動的にNSAに通報します。
61 : Debian sidにselinux-policy-defaultをインストールしようとしています。 しかし以下のようなエラーメッセージが出ます。何かヒントのようなものでもありますか? ちなみにカーネルはselinux=1でブートし、その他の必要なパッケージは coker.com.auから落として全てインストールしてあります。 # dpkg -D=3333 --configure selinux-policy-default Setting up selinux-policy-default (1.16-1) ... /usr/bin/checkpolicy: loading policy configuration from policy.conf domains/program/cups.te:220:ERROR 'unknown type rpm_var_lib_t' at token ';' on line 100328: allow cupsd_config_t rpm_var_lib_t:file { getattr read }; #line 220 /usr/bin/checkpolicy: error(s) encountered while parsing configuration make: *** [/etc/selinux/policy/policy.18] Error 1 run-parts: /etc/dpkg/postinst.d/selinux exited with return code 2 "/bin/run-parts --arg=selinux-policy-default /etc/dpkg/postinst.d" failed: 256 dpkg: error processing selinux-policy-default (--configure): 1Error running trigger postinst: No such file or directory Errors were encountered while processing:
62 : えっと、Debianなのにrpmなのが不味いのかと思って、 #grep -n rpm /etc/selinux/src/domains/program/cups.te 174:ifdef(`rpm.te', ` 175:allow cupsd_config_t rpm_var_lib_t:dir { getattr search }; 176:allow cupsd_config_t rpm_var_lib_t:file { getattr read }; 213:allow cupsd_config_t rpm_var_lib_t:file { getattr read }; この213行目をコメントアウトしたら上手くいったようです。 # make -s -C /etc/selinux/src install /usr/bin/checkpolicy: loading policy configuration from policy.conf security: 4 users, 6 roles, 1431 types, 27 bools security: 53 classes, 207684 rules /usr/bin/checkpolicy: policy configuration loaded /usr/bin/checkpolicy: writing binary representation (version 18) to /etc/selinux/policy/policy.18 Building file_contexts ... Validating file_contexts ...
63 : と思ったらエラーが出てた。 /usr/sbin/load_policy: Warning! Error while getting boolean names: Success /usr/sbin/load_policy: security_load_policy failed make: *** [tmp/load] Error 3 にも関わらずselinux-policy-default自体のセットアップは終わったっぽい。 よく分からんね。
64 : 対応してる鳥使えばいいのに。
65 : 興味あるのでがんばって下さい
66 : >>41 情報 Thanx! ナイトの会、行ってきたよ。 現状はまだまだ発展途上って感じだね。 ひとつ印象に残ったのは、ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと 無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり、商用ソフトだと 最悪、訴えられる可能性もあるらしいとの事。事実、過去そうゆう事例を憂慮した意見が内部であったらしい。 現状では、どこが最終的な責任をとるのだろうか? JOSAO? 会場ではバイキング形式の軽食があった。案内に書いてないのはタダ飯食う香具師が来るのを避ける為 だろうか? 一言書いて欲しかったよ。 行く前に大盛りスパゲッティー食った俺は ヽ(`Д´)ノ
67 : >ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと >無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり strace使うことがなんでリバースエンジニアリングなの?
68 : straceかけなくても、ろぐにでるしね。
69 : strace リバースエンジニアリング でググれ。
70 : >>66 ま、「食事」が目的じゃなかったしw でもまぁ、あの時間帯設定だったら、みんなおなかすくだろうなとは思ってたけど。 ほぼ初心者でお話を聞かせて頂いていたのですが、ポリシー作るのってかなり難しいのね。 Hello World! であんなに手間掛かるとはw 使用しているライブラリの挙動すべてを把握しなければならないのは辛いね。 SELinuxの必要性はある(というか必須)、 でもそれを使うのは困難と。。。まだまだこれから、なのかなぁ。
71 : ちなみに、Windows をセキュアOSにする製品もあるような話があった気がするけど、 ライセンス料以外で考えた場合でも、 WindowsベースのセキュアOS と SELinux だったら、SELinux の方に軍配?
72 : >>71 オープンソースだからね。 究極的にWindowsは、M$の言う事を信じなければならない。 事象があくまでプログラムのバグだからな…。
73 : >>72 オープンソースだから安全ってわけでもないよね。 逆にソースが分かっているんだから攻撃箇所も分かるわけだし。 しかも、脆弱性とか見つかった時の修正までの時間ってWinの方が早いらしいし。 アタックやハッキングがLinuxの方がWinよりも少ないわけでもないから、 手放しで SELinux の方がいいのかどうか疑問。 WinでもLinuxでもハッキングされた時の被害がセキュアOSにより最小限になるのであれば、 SELinuxの優位性は価格だけなのだろうか???
74 : モジラ組みもIISなんか使ってるからあんなことに・・・
75 : 書き込み少ないね。セキュアOSスレとかだったらもっと集まるのかな?
76 : >>75 普通のサーバに使うのは面倒くさすぎるからね。 他のってLIDSとかに限らず、Trusted Solarisとか?
77 : 使ってるアプリケーションの動作を大体のところ分っているのなら、 そんなに難しくも面倒でもないのでは?
78 : セキュアOSカンファレンス乙
79 : allow gikonavi_t 2ch_file_t:file r_file_perms;
80 : >>79 実行できないじゃん。
81 : SE Linuxを有効にしてるとapacheにてWebDAVを利用する際にある小細工をしないと動かないのがつらい。 デフォでONだし、調べてみたら結構いい感じだからね〜 他に、不具合が出るものがあったら教えてくれ。 ちなみに、vsftpdは問題ない。
82 : >>81 vsftpdは平気なんですか。 認証とか平気ですか?shadowとかアクセスさせたくないんだけど。
83 : 普段リモートから管理するには、適当なユーザを作って そのユーザにsysadm_rになれるようにして、 sysadm_rにしてからrootになれば良い?
84 : >>83 適当なユーザでログインして、suでrootになって、newroleでsysadm_rになるのが正解 レガシーUNIXの特権ユーザだとか一般ユーザという考え方は、SELinuxの世界には存在 しないものと心得られよ。
85 : selinux.jp死にっぱなし?
86 : >>85 復活しても俺が速攻で落としてるからな。
87 : >>84 suがsetuidされてるから怒られるのね。 だからsysadm_rにしてからsuしてた。 rootじゃないと、普通のチェック(SELinuxの前)ではじかれるから、 rootになるのは必須なんだよね。 suを許可するのが筋なのかな。
88 : SELinuxでshadowのファイルの権限を有効にしようとして、make reloadコマンド を打つと、エラーが出てしまいます。 どうしてですか?
89 : FreeBSDからFedora Core3に乗り換えたけど SELinux周りで死ぬほど苦しんでます。 詳しいページがあったら紹介してください。
90 : >>89 sudo echo 0 > /selinux/enforce
91 : assert.teだね
92 : >>90 一般ユーザで行うんですか?
93 : >>90 まぁ、それも一つの解ではあるのだけど(笑) Perlで書かれたスクリプトを実行したら 実行されているようなんだけど(ファイル出力処理で、出力している) print してる部分がコンソールに表示されない ./test.cgi > hoge だと、hogeファイルにprintしてる部分が出てる SELinuxを無効にしたら、コンソールに表示される -rwxr-xr-x oresama oresama system_u:object_r:httpd_user_content_t test.cgi うーむ・・・
94 : >>93 httpd_user_script_exec_t
95 : 日立ソフトがIPAから委託されて開発した SELinux/AID使ってる人います? Turboは認定トレーニングはじめるみたいだけどTurboLinux10の 製品解説みると売りにしてるから多分これが前提の講習だよね。 http://www.turbolinux.co.jp/news/2005/jan/tl0118.html
96 : >>66 > 行く前に大盛りスパゲッティー食った俺は ヽ(`Д´)ノ いつでもハングリーでいきましょう
97 : 2.4.28/29にbackportしてSELinuxを運用している方おりますか?
98 : SELinux運用してる例が少なそう
99 : >1 間抜けなタイトルをつけたもんだな、間抜け。 このスレは、「selinux」で検索してもタイトルがひっかからない。 こんな間抜けなタイトルをつける底抜けにでも FC3のはそれなりに使えてるみたいだ。
100read 1read
1read 100read
TOP カテ一覧 スレ一覧 削除依頼 ▲
・ 次のスレ
Linux で GPS,カーナビ Xandros ▼2chでディストリビューションを作ろう!Part3 とうとうLinuxも.NET Framework対応