Questions tagged «selinux»

SELinux(增强安全性的Linux)通过内核修改和用户工具在Linux上实现了基于角色的灵活,强制性访问控制(MAC)体系结构的实现。它主要用于限制系统进程和用户,而不仅仅是基本的自由访问控制(DAC)机制或* nix系统上的访问控制列表。

6
如何在不重新启动的情况下禁用SELinux?
我需要禁用SELinux但无法重新启动计算机 我跟随这个链接,在这里我得到波纹管命令 setenforce 0 但是运行此命令后,我检查了 sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: disabled Policy version: 24 Policy from config file: targeted 还有其他选择吗?
50 rhel  selinux 

4
由于SELinux,httpd无法写入文件夹/文件
有谁知道哪个sebool允许对/ home / user / html的httpd写入访问权限?当我禁用SELinux时,echo 0 > /selinux/enforce我可以写,所以我的问题肯定与SELinux有关。我只是不知道哪一个是正确的方法而没有开一个大漏洞,而Google并没有太大的帮助。 #[/home]ls -Z drwxr-x---. user apache unconfined_u:object_r:user_home_dir_t:s0 user #sestatus -b Policy booleans: abrt_anon_write off abrt_handle_event off allow_console_login on allow_cvs_read_shadow off allow_daemons_dump_core on allow_daemons_use_tcp_wrapper off allow_daemons_use_tty on allow_domain_fd_use on allow_execheap off allow_execmem on allow_execmod on allow_execstack on allow_ftpd_anon_write off allow_ftpd_full_access off allow_ftpd_use_cifs off …


3
神话还是现实:SELinux可以限制root用户吗?
我在某处(也许在LinuxCBT的SELinux课程中;但我不确定)读或听到过,有在线Linux服务器,并且还提供了root用户的密码。Linux服务器使用SELinux规则进行了加固,因此每个人都可以使用root用户登录,但不会对操作系统造成任何损害。 在我看来,这似乎是个神话,但我想确保:是否可以加固Linux机器(可能使用SELinux),从而即使root用户也不能对其进行特定的恶意活动?(例如:删除系统文件,清除日志文件,停止关键服务等) 这样的Linux盒子将是构建蜜罐的一个很好的起点。 编辑: 基于一个答案(现已删除)和一点谷歌搜索,我至少得到了两个指向此类加固Linux服务器的链接。不幸的是,两个服务器都关闭了。作为记录,我将在此处复制粘贴说明: 1)从http://www.coker.com.au/selinux/play.html: SE Linux机器上的免费root用户访问权限! 要以root用户身份访问我的Debian播放机ssh到play.coker.com.au,密码为... 请注意,如果要成功运行这些机器,则需要大量技能。如果必须询问是否应该运行一个,则答案为“否”。 这样做的目的是证明SE Linux可以在没有任何Unix权限的情况下提供所有必要的安全性(但是仍然建议您对真实服务器也使用Unix权限)。此外,它还使您有机会登录SE机器并查看其外观。 登录到SE Linux播放机时,请确保在登录前使用-x选项禁用X11转发或在/ etc / ssh / ssh_config文件中设置ForwardX11 no。另外,在登录之前,请确保使用-a选项禁用ssh代理转发或在/ etc / ssh / ssh_config文件中将ForwardAgent设置为no。如果您没有正确禁用这些设置,那么登录到游戏机将使您面临通过SSH客户端受到攻击的风险。 这是讨论这样的一个IRC频道,它是#selinux上irc.freenode.net。 这是一个快速常见问题解答 2)来自http://www.osnews.com/comments/3731 Hardened Gentoo的目的是使Gentoo在高安全性,高稳定性的生产服务器环境中可行。该项目不是与Gentoo脱节的独立项目;它旨在成为一个Gentoo开发人员团队,专注于为Gentoo提供可提供强大安全性和稳定性的解决方案。该机器是Hardened Gentoo的SELinux 演示机器。它的主要用途是测试和审核SELinux集成和策略。

2
用什么来加固Linux机箱?Apparmor,SELinux,grsecurity,SMACK,chroot?
我打算回到Linux作为台式机。我想使其更加安全。并尝试一些强化技术,特别是因为我计划要获得自己的服务器。 什么是好的,理智的硬化策略?我应该使用哪些工具-Apparmor,SELinux,SMACK,chroot? 我应该仅使用一种工具(例如Apparmor)还是上述两种方法的组合? 这些工具有哪些优点/缺点?还有其他吗? 哪些配置与安全性(改进)的比率合理? 我想在桌面环境中使用哪一个?在服务器环境中的哪一个。 这么多的问题。

3
DAC(文件许可权),ACL和MAC(SELinux)在Linux文件安全性中起什么作用?
我需要澄清/确认/阐述DAC,ACL和MAC在Linux文件安全性中扮演的不同角色。 经过文档研究后,这就是我对堆栈的理解: SELinux必须允许您访问文件对象。 如果该文件的访问控制列表(例如,setfacl,getfacl用于ACL安装)显式地允许/拒绝访问的对象,那么就不需要进一步的处理。 否则,取决于文件的权限(rwxrwxrwx DAC模型)。 我想念什么吗?在某些情况下不是吗?

2
SELinux是否提供足够的额外安全性,值得值得学习/设置它的麻烦?
我最近在自己的家用PC上安装了Fedora 14,并且一直在努力设置与服务器相关的各种功能,例如apache,mysql,ftp,vpn,ssh等。我很快遇到了一个障碍,就像发现SELinux一样。我以前从未听说过。在进行了一些研究之后,似乎大多数人都认为您应该禁用它,而不应对麻烦。就个人而言,如果确实增加了更多的安全性,我不反对处理如何正确设置它的麻烦。最终,我计划开放我的网络,以便可以远程访问此PC,但是直到我确信它的安全性(或多或少)后,我才这样做。如果您已设置好它并使它正常运行,您是否认为这值得花时间和麻烦?真的更安全吗?如果您选择不使用它,那么这个决定是否基于我的情况也值得考虑的任何研究?

1
在RPM .spec中设置SELinux上下文的正确方法是什么?
我正在尝试构建一个针对RHEL4和5的RPM。现在,我打来电话chcon,%post但是有多个Google条目说“这不是您应该做的”,在正确方法的帮助下非常有限。我还注意到fixfiles -R mypackage check说正确的文件是错误的(正如预期的那样; RPM DB没有意识到我想要的)。 我说具体RHEL4,因为它并没有具备semanage这似乎是正确的方式去做一个。(添加新策略,然后restorecon在中的目录上运行%post。) 我也不需要我自己的上下文,只需httpd_cache_t在非标准目录上即可。 我还看到了“让它cpio来照顾它”-但是然后我遇到了一个新问题,即非root RPM构建用户无法chcon在构建目录上运行。我作弊并sudo进入了规范文件,但这似乎并不重要。
14 compiling  rpm  selinux 


8
如何防止进程写入文件
我想以无法创建或打开任何要写入的文件的方式在Linux上运行命令。它仍然应该能够正常读取文件(因此不能选择空的chroot),并且仍然能够写入已经打开的文件(尤其是stdout)。 如果仍然可以将文件写入某些目录(即当前目录),则可以获得加分。 我正在寻找一种本地解决方案,即不涉及为整个系统配置AppArmor或SELinux之类的东西,也不涉及root特权。不过,这可能涉及安装其内核模块。 我正在研究功能,如果有创建文件的功能,这些功能将很容易实现。如果ulimit涵盖了此用例,则它是另一种方便的方法。

3
提示用户拒绝Linux安全
当应用程序想要访问分类文件或文件夹(数字签名,SSH密钥,信用卡信息和其他敏感内容)时,是否可以使Linux安全模块(例如AppArmor,SELinux等)提示用户拒绝应用程序可能需要的操作(例如,电子邮件客户端希望根据用户的请求签名电子邮件)。 为易受攻击的应用程序(尤其是Web浏览器和电子邮件客户端)设置严格的默认安全策略,并让用户决定是否需要执行给定的操作,这样可以避免系统的脆弱性,而又不会使用户的状况恶化,这将是有益的。友善。

1
如何创建自定义SELinux标签
我编写了一个服务/单个二进制应用程序,试图在Fedora 24上运行,它使用systemd运行,二进制文件已部署到 /srv/bot 我编写的此服务/应用程序需要在该目录中创建/打开/读取和重命名文件。 我首先开始基于SELinux创建新策略:允许进程在特定目录中创建任何文件 但是当我的应用需要重命名时,输出将显示警告: #!!!! WARNING: 'var_t' is a base type. allow init_t var_t:file rename; 我四处搜寻,发现我应该使用比基本类型更具体的SELinux标签,但是所有在线示例都向您展示了httpd / nginx / etc中的现有标签。 有没有一种方法可以仅为我自己的应用程序创建自定义标签? 我的想法是创建类似myapp_var_t的东西,使用 semanage fcontext -a -t my_app_var_t '/srv/bot(/.*)?' restorecon -R -v /srv/bot 和.pp将使用此自定义类型的自定义文件 如果有更好的解决方法,那也可以。 谢谢 更新资料 经过更多搜索之后,我认为我要执行的操作的正确术语是创建新词types,这使我进入了 https://docs.fedoraproject.org/en-US/Fedora/13/html/SELinux_FAQ/index.html#id3036916 基本上说,运行 sepolgen /path/to/binary 而且我能够得到一个模板,然后将其编译成pp文件并加载,仍然会出现一些错误,但是看起来我已经接近要执行的操作了。 如果我可以使用,我会更新这篇文章

1
如何配置SELinux以允许来自CGI脚本的出站连接?
我正在迁移到已设置SELinux(运行Centos 5.5)的新Web服务器。我已经对其进行了设置,以便它可以毫无问题地执行CGI脚本,但是一些较旧的基于Perl的脚本无法连接到远程Web服务(RSS提要等)。 运行:grep perl /var/log/audit/audit.log给出: 类型= SYSCALL msg =审核(1299612513.302:7650):arch = 40000003 syscall = 102成功=否退出= -13 a0 = 3 a1 = bfb3eb90 a2 = 57c86c a3 = 10项= 0 ppid = 22342 pid = 22558 auid = 0 uid = 48 gid = 48 euid = 48 suid = 48 fsuid …
10 centos  selinux 

2
SELinux不允许oddjobd-mkhomedir在非标准位置创建用户主目录
我们正在使用SSSD对CentOS服务器上的用户进行身份验证。当默认主目录为/ home时,oddjobd-mkhomedir可以很好地工作,但是在特定服务器上,我们必须将默认主目录更改为/ data,该目录位于SAN挂载上。 现在,每次用户尝试登录时,他们都会使用以下消息放入bash shell中。 Creating home directory for first.last. Could not chdir to home directory /data/X.Y.local/first.last: No such file or directory -bash-4.1$ 我每次尝试都会看到以下AVC拒绝消息: type=AVC msg=audit(1492004159.114:1428): avc: denied { create } for pid=2832 comm="mkhomedir" name="x.y.local" scontext=system_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023 tcontext=system_u:object_r:default_t:s0 tclass=dir 确保已更改/ data的上下文。 drwxr-xr-x. root root system_u:object_r:home_root_t:s0 data 如果/ data与/ home具有相同的上下文,那么SELinux为什么要限制oddjobd创建/data/XYlocal/first.last? # sestatus …
9 selinux 

4
如果禁用selinux会发生什么问题[关闭]
已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗?更新问题,以便通过编辑此帖子以事实和引用的形式回答。 3年前关闭。 我们从另一个团队那里继承了一堆二手服务器。其中有些启用了SELinux,有些则没有。由于SELinux的,我们是无法设置密码的ssh,我们的网络服务器等,我们发现一个变通此stackexchange网站,这是运行: restorecon -R -v ~/.ssh 但是,由于我们不需要运行SELinux来完成工作,因此将其关闭可能比记住每个人都需要权限的目录运行上述cmd容易。 我们是否可以关闭SELinux而不产生任何影响,还是重新映像服务器更好?需要注意的一件事;我们的IT团队真的很忙,因此除非是绝对必要(需要非常好的业务案例),否则重新映像服务器的位置并不高...或者有人用一瓶苏格兰威士忌或威士忌贿赂老板。 更新:感谢大家的建议。这些服务器都将用作内部开发服务器。这些机器将不会有外部访问,因此安全性不是我们关注的重点。据我们所知,我们目前使用的所有服务器均未启用SELinux。我的经理刚刚获得的一些服务正在执行,而那些我们正在禁用的服务正在执行,因此集群中的所有内容都是统一的。
9 linux  ssh  selinux 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.