Questions tagged «selinux»

NSA Security-Enhanced Linux(SELinux)是Linux操作系统中灵活的强制性访问控制体系结构的实现。

1
如何查询影响类型的所有selinux规则/默认文件上下文/等
我需要了解正在运行的系统当前规则下与selinux类型相关的所有信息: 允许,允许审核,不审核规则。 使用类型标记了上下文的文件。 过渡。 ...以及其他任何信息。 是否可以使用任何命令查询该信息,还是应该下载所有与selinux相关的“ src”软件包,过滤掉未使用的模块,并对该信息的每个文件进行grep?必须有一种更简单的方法来做到这一点。
3
我该如何告诉SELinux在没有audit2allow的情况下允许nginx访问unix套接字?
我有Nginx通过位于的unix套接字将请求转发给gunicorn /run/gunicorn/socket。默认情况下,SELinux不允许这种行为: grep nginx /var/log/audit/audit.log type=SERVICE_START msg=audit(1454358912.455:5390): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=nginx comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' type=AVC msg=audit(1454360194.623:7324): avc: denied { write } for pid=9128 comm="nginx" name="socket" dev="tmpfs" ino=76151 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=sock_file type=SYSCALL msg=audit(1454360194.623:7324): arch=c000003e syscall=42 success=no exit=-13 a0=c a1=1f6fe58 a2=6e a3=7ffee1da5710 items=0 ppid=9127 pid=9128 auid=4294967295 uid=995 …
10 nginx  selinux 
4
SELinux使Redhat更安全吗?
SELinux使Redhat更安全吗? 我不记得禁用SELinux的次数,因为它一直使我无法正常运行东西。很多时候,没有什么明显的原因导致东西无法正常工作,我不得不去Google查明原因。 考虑到大多数临时用户会在遇到阻碍时禁用或削弱安全性,而又将严重的企业级Redhat用户排除在外,那么SELinux真的有用吗? PS。是否有一些工具可以帮助您记录,跟踪和管理所有应用程序中的SELinux问题?
10 centos  redhat  selinux 
1
SSH-1挂在“进入交互式会话”(不是DNS;可能与SELinux相关)
我在CentOS 6.7上遇到问题,其中SSH登录比该网络上的任何非6.7计算机(例如7.2、5.11)多1秒。在客户端运行调试显示“进入交互式会话”挂起。 我用来作为该测试基础的命令是time ssh <host> true使用SSH密钥从笔记本电脑上获得的。 我已经检查/修改过的两件事是UseDNS和GSSAPIAuthentication,并且两者都被禁用。 我在其他端口上启动了单独的守护程序,并进行了调试,并发现发生短挂起的位置: debug1: SELinux support enabled debug3: ssh_selinux_setup_exec_context: setting execution context {1s hang} debug3: ssh_selinux_setup_exec_context: done SELinux设置为“宽松”。我不确定为什么它还要打扰“设置上下文”。有什么办法可以使这两个人更好地相处而不完全禁用SELinux?我知道1s并不多,但是我使用这台特定的机器作为SSH网关来托管具有IP白名单的主机(这是一台静态IP机器),并且整日累积。 在运行strace之后,挂起的位置更加细微: 22:16:05.445032 open("/selinux/user", O_RDWR|O_LARGEFILE) = 4 <0.000090> 22:16:05.445235 write(4, "unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 unconfined_u", 56) = 56 <0.334742> 22:16:05.780128 read(4, "18\0unconfined_u:system_r:prelink_mask_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:abrt_helper_t:s0-s0:c0.c1023\0unconfined_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_notrans_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_execmem_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_java_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mono_t:s0-s0:c0.c1023\0unconfined_u:system_r:chkpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:passwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:updpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:rssh_t:s0-s0:c0.c1023\0unconfined_u:system_r:xauth_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_t:s0-s0:c0.c1023\0unconfined_u:system_r:openshift_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023\0", 4095) = 929 <0.000079> 写入/selinux/user仅需350毫秒。 更新1-我尝试过的事情: 正在更新。许多盒子需要更新。这对登录时间没有任何实质性影响。 semodule -d …
2
如何使用SELinux在CentOS上运行PhantomJS?
我正在尝试在CentOS 5机器上使用PhantomJS制作屏幕快照,但无法使其与SELinux一起使用。它可以在禁用SELinux的同一台机器上工作,因此我真的怀疑SELinux对此负责。 这是我尝试过的方法(所有命令均以root身份运行)以及出现的错误: $ ls -Z /usr/local/phantomjs/phantomjs-1.6.2-linux-x86_64-dynamic/bin -rwxr-xr-x myusername myusername system_u:object_r:bin_t phantomjs 尝试截图-失败 $ cat /var/log/messages | grep avc Sep 13 12:21:18 myserver kernel: type=1400 audit(1347531678.014:398): avc: denied { getattr } for pid=6842 comm="sh" path="/sbin/ldconfig" dev=dm-0 ino=3097762 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:ldconfig_exec_t:s0 tclass=file Sep 13 12:21:18 myserver kernel: type=1400 audit(1347531678.014:399): avc: denied { …
1
Linux-CentOS6-semanage-找不到命令
我正在尝试解决一个问题,其中我的HTTPD被拒绝访问绑定的自定义端口,我认为这与SELinux有关。在进行谷歌搜索时,我遇到了一些用户在其中键入内容的帖子,semanage其后是标志和命令以查看某些数据。在关注这些帖子时,我也输入了semanage,但它不在我的系统上。 结果yum list *semanage*: Installed Packages libsemanage.x86_64 | 2.0.43-4.el6 | @anaconda-CentOS-201106060106.x86_64/6.0 Available Packages libsemanage-devel.x86_64 | 2.0.43-4.el6 | base libsemanage-python.x86_64 | 2.0.43-4.el6 | base libsemanage-static.x86_64 | 2.0.43-4.el6 | base 这些其他软件包之一中是否提供了二进制文件?
1
CentOS 7-通过VSFTPD创建的目录不继承SELinux上下文
我们公司拥有一个带有CentOS 7的Web服务器,我们的客户通过FTP(vsftpd)管理其网站。SELinux处于强制模式。 问题是通过VSFTPD创建/上传的数据没有继承适当的SELinux上下文。让我解释。 例如,对于WordPress网站,服务器开箱即用地已经具有一些可以使用看到的规则semanage fcontext -l |grep '/var/www',它们是: /var/www/html(/.*)?/uploads(/.*)? all files system_u:object_r:httpd_sys_rw_content_t:s0 /var/www/html(/.*)?/wp-content(/.*)? all files system_u:object_r:httpd_sys_rw_content_t:s0 因此,当我将WordPress网站复制到另一台服务器时,/var/www/html/通过SSH 将其复制到目录中,wp-content/并wp-content/uploads/具有适当的httpd_sys_rw_content_t安全上下文。但是,当这些文件夹通过FTP创建时,它们获得的上下文是httpd_sys_content_t(no rw)。这意味着我们的客户上载到服务器的站点即使将写权限授予apache用户/组也无法写入这些目录,因此WordPress管理员无法正常工作。因此,当他们上载网站时,他们必须请求我们的支持以解决此问题,这对于所有参与者来说都是浪费时间。 假设客户将其网站上传到中httpdocs,如果通过SSH mv httpdocs/ httpdocs.2/ && cp -pr httpdocs.2/ httpdocs/ && rm httpdocs.2/ -fr可以解决问题,那么数据没有问题。 我也restorecon -Rv httpdocs/可以解决此问题。 因此,问题是:如何使通过VSFTPD创建/上传的目录继承正确的SELinux上下文,就像通过SSH创建/上传目录时继承它们一样?
4
使用Linux文件系统一次写入,多次读取(WORM)
我需要将文件写入Linux文件系统,该文件随后不能被覆盖,附加,以任何方式更新或删除。不是由sudo-er,root或任何人组成。我试图满足FINRA 17A-4记录保存金融服务法规的要求,该要求基本上要求将电子文档写入WORM(一次写入,多次读取)设备。我非常希望避免使用DVD或昂贵的EMC Centera设备。 是否有Linux文件系统,或者SELinux是否可以支持在写入后立即(或至少很快)使文件完全不可变的要求?还是有人知道我可以使用Linux权限等在现有文件系统上实施此方法? 我知道可以设置只读权限和不可变属性。但是我当然希望root用户可以取消设置那些。 我考虑过将数据存储到小型卷中,这些小型卷已卸装,然后以只读方式重新挂载,但随后,我认为root仍然可以卸装并重新挂载为可写状态。 我正在寻找任何聪明的主意,在最坏的情况下,我愿意做一些编码来“增强”现有文件系统来提供此功能。假设有一个很好的起点文件系统。并放置经过精心配置的Linux服务器充当此类网络存储设备,而无需执行其他操作。 毕竟,文件加密也将非常有用!
2
httpd_read_user_content和httpd_enable_homedirs有什么区别?
SELinux的apache模块具有两个类似的布尔参数:httpd_read_user_content和httpd_enable_homedirs。 手册页说,前者允许httpd读取用户内容,而后者允许httpd读取主目录。 它们之间有什么区别? 如果要允许httpd读取/home/foo目录中的文件,应将哪个参数设置为true ?
1
CentOS忽略了我的公钥
我正在尝试使用SSH连接到我自己的CentOS服务器;我可以用密码很好地连接;我正在尝试使用我的公共密钥进行连接,但是服务器未尝试进行公共密钥身份验证。我已按照CentOS Wiki中此页面上的所有说明进行操作,并验证了以下内容: 我正在运行CentOS 6.0或更高版本 我的sshd_config具有以下内容: PermitRootLogin no PubkeyAuthentication Yes RSAAuthentication yes AuthorizedKeysFile .ssh/authorized_keys 我已经在客户端主目录的.ssh /文件夹中创建了一个私钥。 公钥的完整文本(由生成ssh-keygen)在服务器主目录中的.ssh / authorized_keys文件中占一行。 我在客户端和服务器上都设置了以下权限模式: chmod 700 .ssh chmod 600 .ssh/*
2
CentOS 6 Kickstart忽略了“ selinux --disabled”
我一直在和这个争斗一阵子,似乎CentOS 6出现了回归,直到anaconda忽略了该selinux --disabled指令。这似乎首先出现在RHEL 4.8中,然后重新出现在RHEL 5.6中。 现在,在以前的发行版中,您只需将sed语句添加到%post指令中即可将其禁用。 sed -i -e 's/\(^SELINUX=\).*$/\1permissive/' /etc/selinux/config 我遇到的问题是RHEL / CentOS 6中的新功能是它们默认设置文件系统属性,因此您现在必须清除这些属性。 我尝试运行以下命令来删除我的%post部分中的那些属性,但是它没有任何效果。 find . -exec setfattr -x security.selinux {} \; 我的kickstart文件在下面,以防您发现它有帮助: #version=RHEL6 install url --url=http://ny-man01.ds.stackexchange.com/centos/6/os/x86_64 lang en_US.UTF-8 keyboard us %include /tmp/nic-include rootpw --iscrypted <mmm no you don't even get the encrypted version> firewall --service=ssh,ntp,snmp authconfig --enableshadow …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.