Questions tagged «selinux»

NSA Security-Enhanced Linux(SELinux)是Linux操作系统中灵活的强制性访问控制体系结构的实现。

3
SElinux:允许httpd连接到特定端口
我的系统正在使用apache2.2.15运行CentOS 6.4。SElinux正在执行,我正在尝试通过python / wsgi应用连接到Redis的本地实例。我收到错误13,权限被拒绝。我可以通过以下命令解决此问题: setsebool -P httpd_can_network_connect 但是,我并不完全希望httpd能够连接到所有tcp端口。如何指定允许httpd连接到哪些端口/网络?如果我可以制作一个模块来允许httpd连接到端口6379(redis)或127.0.0.1上的任何tcp,那将是更好的选择。不知道为什么我的妄想症在这方面如此强烈,但是嘿... 有人知道吗
7
禁用/启用SELinux的原因
在关于StackOverflow 的这个问题以及我们这里完全不同的人群中,我想知道:禁用SELinux的原因是什么(假设大多数人仍然这样做)?您要保持启用状态吗?离开SELinux,您经历了哪些异常?除了Oracle,还有哪些其他供应商在启用SELinux的系统支持方面遇到麻烦? 额外的问题:是否有人能够以强制执行的目标模式在Oracle Linux和RHEL5上运行Oracle?我的意思是说,严格将是很棒的,但是我还没有做到这一点,所以让我们先关注目标;-)
6
如何允许通过SELinux进行MySQL连接?
此问题已从堆栈溢出迁移,因为可以在服务器故障时回答。 迁移 8年前。 为了提高安全性,我想一次让SELinux在服务器上运行。 我通常禁用SELinux以使任何东西都可以工作。 如何告诉SELinux允许MySQL连接? 我在文档中找到的最多的是来自mysql.com的以下行: 如果您在Linux下运行,并且启用了安全性增强的Linux(SELinux),请确保已禁用mysqld进程的SELinux保护。 哇...真的很有帮助。
21 mysql  selinux 
8
尝试SSH到远程计算机,但仍要求输入密码
尝试通过SSH登录到远程计算机,但仍要求输入密码。 我有许多运行SElinux的计算机,其中只有一台使我很难使用ssh而不输入密码。 我做了一个ssh-copy-id,我可以在.ssh / authorized_keys中看到我的密钥。 我chmod 700 .ssh和chmod 600 ./ssh/*中的所有文件 如果我执行ssh -v,这是我的输出: OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to wcmisdlin05 [10.52.208.224] port 22. debug1: Connection established. debug1: identity file /home/jsmith/.ssh/identity type -1 debug1: identity file /home/jsmith/.ssh/id_rsa type 1 …
18 linux  ssh  ssh-keys  selinux 
2
我如何查看SELinux策略包的内容
如标题所示,如何查看SELinux策略包的内容?生成的文件以.pp结尾。我在centos 6上运行,但我猜它在“所有”发行版上都是相同的。 例如 cp /usr/share/selinux/targeted/cobbler.pp.bz2 ~ bunzip2 cobbler.pp.bz2 MAGIC_SELINUX_CMD cobbler.pp
5
为什么我们需要SELinux?
我不知道SELinux在哪里使用过,以及它从攻击者那里节省了多少。我浏览了SELinux网站并阅读了基本知识,但仍然对SELinux毫无头绪。对于提供SSH Shell,Apache前端,基于角色的Web应用程序,MySQL DB,memcached的Linux系统,几乎所有系统都受密码保护,那么为什么需要SELinux?
2
SElinux错误:ValueError:端口tcp / 5000已定义
我一直在尝试为端口5000上的apache添加一个例外到SELinux,所以我使用了以下命令: # semanage port -a -t http_port_t -p tcp 5000 但是返回错误, ValueError: Port tcp/5000 already defined 我试图用命令检查是否是这样: semanage port -l |grep 5000 给出了输出, http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 如您所见,列表中没有5000。 有什么明显的我想念的吗?预先感谢您的努力 因此,我发现另一个服务的TCP端口5000的状态已定义。 但是通过将-a选项替换-m为进行修改,将tcp端口5000添加到http_port_t
13 port  httpd  selinux 
1
如何在CentOS Docker容器内启用SELinux?
我试图将SELinux安装在Docker容器中,以便分发内部使用SELinux的应用程序。 默认的CentOS映像未安装SELinux: $ docker run -it centos:latest /bin/bash [root@38ae5a98273d /]# sestatus bash: sestatus: command not found 从yum安装它之后,尚未启用SELinux。 [root@38ae5a98273d /]# yum install policycoreutils selinux-policy-targeted ... [root@38ae5a98273d /]# sestatus SELinux status: disabled 我发现的所有文档都说您需要发出系统重新启动才能进行安装。但是,我不知道一种模拟Docker容器内系统重启的方法。 如何在容器内安装和启用SELinux?
13 centos  docker  selinux 
3
SELinux阻止Apache写入文件
SELinux阻止apache用户写入其拥有的日志文件。当我这样做的setenforce 0时候。否则显示此错误 IOError: [Errno 13] Permission denied: '/var/www/webapp/k/site/k.log' 文件的安全上下文: $ ll -Z k.log -rw-r--r--. apache apache system_u:object_r:httpd_sys_content_t:s0 k.log 该文件是在SELinux模式设置为许可时创建的。 如何设置安全上下文,以便apache用户可以在该目录中写入?我确实使用设置了该目录安全性上下文,chcon但是找不到合适的文件类型。 来自audit.log: type=AVC msg=audit(1409945481.163:1561): avc: denied { append } for pid=16862 comm="httpd" name="k.log" dev="dm-1" ino=201614333 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=file type=SYSCALL msg=audit(1409945481.163:1561): arch=c000003e syscall=2 success=no exit=-13 a0=7fa8080847a0 a1=441 a2=1b6 a3=3 items=0 ppid=15256 pid=16862 …
1
SELinux重设root密码
免责声明:这个问题不是要解决SELinux处于活动状态时更改root密码的问题,因为已经有很多指南可以解决该问题。这更多地是SELinux在内部执行此操作的方式。 我最近是SELinux的用户,但最近我与它有了更多的联系。有一段时间,有人问我如何在忘记密码的情况下重设root密码。 所以我启动了CentOS,将grub条目编辑为类似 linux16 <kernel_location> root=/dev/mapper/centos-root rw init=/bin/bash 我跑了passwd,然后跑了,然后sync强制重启。重新引导后,使用新密码和旧密码登录均被拒绝。 再次重新启动并向内核传递参数以禁用SELinux(selinux=0)。尝试使用新密码登录并成功。之后,我强制进行fs自动重新标记(通过file .autorelabel),并且在激活SELinux的情况下现在可以登录。 我的问题是:为什么会发生?当仅更改密码而不更改用户或对象时,为什么重新标记会影响登录? 感谢您的关注。 TL; DR:通常的root密码重置在SELinux中不起作用。为什么? 编辑:这已在运行CentOS7且以KVM作为虚拟机管理程序的虚拟机上进行了测试。
1
如何将SELinux标签分配给具有管理功能的符号链接,使其在重新标签后仍然存在?
我的Apache DocumentRoot / var / www是另一个路径的符号链接。目标具有适当的文件上下文标签(httpd_sys_content_t),以便apache可以在启用SELinux的情况下读取它。但是,符号链接本身被标记为var_t。 [root@localhost var]# ls -lZ lrwxrwxrwx. root root unconfined_u:object_r:var_t:s0 www -> /srv/www 我需要用httpd_sys_content_t重新标记符号链接。 最初使用-h选项运行chcon似乎可以工作: [root@localhost var]# chcon -h -t httpd_sys_content_t /var/www [root@localhost var]# ls -lZ lrwxrwxrwx. root root unconfined_u:object_r:httpd_sys_content_t:s0 www -> /srv/www 但是,这不能在重新标记后继续存在: [root@localhost var]# restorecon -Rv . restorecon reset /var/www context system_u:object_r:httpd_sys_content_t:s0->syst em_u:object_r:var_t:s0 使用管理不会重新标记链接本身。只是目标: …
3
现实生活中的SELinux安全示例?
任何人都可以举一个现实的例子来说明SELinux在何处保存了安全性培根?(或AppArmour,如果您愿意的话)。如果不是您自己的,是否指向具有可靠经验的人? 不是实验室测试,不是白皮书,不是最佳实践,也不是CERT咨询,而是一个真实的例子,例如audit2,为什么显示出真正的黑客尝试已停止? (如果没有示例,请在评论中保留评论,而不是“答案”。) 谢谢!
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.