Questions tagged «selinux»

我需要禁用SELinux但无法重新启动计算机 我跟随这个链接，在这里我得到波纹管命令 setenforce 0 但是运行此命令后，我检查了 sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: disabled Policy version: 24 Policy from config file: targeted 还有其他选择吗？

50 rhel  selinux 

有谁知道哪个sebool允许对/ home / user / html的httpd写入访问权限？当我禁用SELinux时，echo 0 > /selinux/enforce我可以写，所以我的问题肯定与SELinux有关。我只是不知道哪一个是正确的方法而没有开一个大漏洞，而Google并没有太大的帮助。 #[/home]ls -Z drwxr-x---. user apache unconfined_u:object_r:user_home_dir_t:s0 user #sestatus -b Policy booleans: abrt_anon_write off abrt_handle_event off allow_console_login on allow_cvs_read_shadow off allow_daemons_dump_core on allow_daemons_use_tcp_wrapper off allow_daemons_use_tty on allow_domain_fd_use on allow_execheap off allow_execmem on allow_execmod on allow_execstack on allow_ftpd_anon_write off allow_ftpd_full_access off allow_ftpd_use_cifs off …

30 apache-httpd  selinux 

在系统上安装SELinux时，是否在标准linux权限之前或之后执行其规则？例如，如果非root Linux用户尝试使用linux许可权写入文件，-rw------- root root将首先检查SELinux规则，还是将应用标准文件系统许可权而从不调用SELinux？

22 files  permissions  selinux  access-control 

我在某处（也许在LinuxCBT的SELinux课程中；但我不确定）读或听到过，有在线Linux服务器，并且还提供了root用户的密码。Linux服务器使用SELinux规则进行了加固，因此每个人都可以使用root用户登录，但不会对操作系统造成任何损害。 在我看来，这似乎是个神话，但我想确保：是否可以加固Linux机器（可能使用SELinux），从而即使root用户也不能对其进行特定的恶意活动？（例如：删除系统文件，清除日志文件，停止关键服务等） 这样的Linux盒子将是构建蜜罐的一个很好的起点。 编辑： 基于一个答案（现已删除）和一点谷歌搜索，我至少得到了两个指向此类加固Linux服务器的链接。不幸的是，两个服务器都关闭了。作为记录，我将在此处复制粘贴说明： 1）从http://www.coker.com.au/selinux/play.html： SE Linux机器上的免费root用户访问权限！ 要以root用户身份访问我的Debian播放机ssh到play.coker.com.au，密码为... 请注意，如果要成功运行这些机器，则需要大量技能。如果必须询问是否应该运行一个，则答案为“否”。 这样做的目的是证明SE Linux可以在没有任何Unix权限的情况下提供所有必要的安全性（但是仍然建议您对真实服务器也使用Unix权限）。此外，它还使您有机会登录SE机器并查看其外观。 登录到SE Linux播放机时，请确保在登录前使用-x选项禁用X11转发或在/ etc / ssh / ssh_config文件中设置ForwardX11 no。另外，在登录之前，请确保使用-a选项禁用ssh代理转发或在/ etc / ssh / ssh_config文件中将ForwardAgent设置为no。如果您没有正确禁用这些设置，那么登录到游戏机将使您面临通过SSH客户端受到攻击的风险。 这是讨论这样的一个IRC频道，它是#selinux上irc.freenode.net。 这是一个快速常见问题解答 2）来自http://www.osnews.com/comments/3731 Hardened Gentoo的目的是使Gentoo在高安全性，高稳定性的生产服务器环境中可行。该项目不是与Gentoo脱节的独立项目；它旨在成为一个Gentoo开发人员团队，专注于为Gentoo提供可提供强大安全性和稳定性的解决方案。该机器是Hardened Gentoo的SELinux 演示机器。它的主要用途是测试和审核SELinux集成和策略。

20 security  selinux  access-control  hardening 

我打算回到Linux作为台式机。我想使其更加安全。并尝试一些强化技术，特别是因为我计划要获得自己的服务器。 什么是好的，理智的硬化策略？我应该使用哪些工具-Apparmor，SELinux，SMACK，chroot？ 我应该仅使用一种工具（例如Apparmor）还是上述两种方法的组合？ 这些工具有哪些优点/缺点？还有其他吗？ 哪些配置与安全性（改进）的比率合理？ 我想在桌面环境中使用哪一个？在服务器环境中的哪一个。 这么多的问题。

20 security  chroot  selinux  grsecurity  hardening 

我需要澄清/确认/阐述DAC，ACL和MAC在Linux文件安全性中扮演的不同角色。 经过文档研究后，这就是我对堆栈的理解： SELinux必须允许您访问文件对象。 如果该文件的访问控制列表（例如，setfacl，getfacl用于ACL安装）显式地允许/拒绝访问的对象，那么就不需要进一步的处理。 否则，取决于文件的权限（rwxrwxrwx DAC模型）。 我想念什么吗？在某些情况下不是吗？

18 linux  permissions  selinux  acl 

我最近在自己的家用PC上安装了Fedora 14，并且一直在努力设置与服务器相关的各种功能，例如apache，mysql，ftp，vpn，ssh等。我很快遇到了一个障碍，就像发现SELinux一样。我以前从未听说过。在进行了一些研究之后，似乎大多数人都认为您应该禁用它，而不应对麻烦。就个人而言，如果确实增加了更多的安全性，我不反对处理如何正确设置它的麻烦。最终，我计划开放我的网络，以便可以远程访问此PC，但是直到我确信它的安全性（或多或少）后，我才这样做。如果您已设置好它并使它正常运行，您是否认为这值得花时间和麻烦？真的更安全吗？如果您选择不使用它，那么这个决定是否基于我的情况也值得考虑的任何研究？

17 linux  security  selinux 

我正在尝试构建一个针对RHEL4和5的RPM。现在，我打来电话chcon，%post但是有多个Google条目说“这不是您应该做的”，在正确方法的帮助下非常有限。我还注意到fixfiles -R mypackage check说正确的文件是错误的（正如预期的那样； RPM DB没有意识到我想要的）。 我说具体RHEL4，因为它并没有具备semanage这似乎是正确的方式去做一个。（添加新策略，然后restorecon在中的目录上运行%post。） 我也不需要我自己的上下文，只需httpd_cache_t在非标准目录上即可。 我还看到了“让它cpio来照顾它”-但是然后我遇到了一个新问题，即非root RPM构建用户无法chcon在构建目录上运行。我作弊并sudo进入了规范文件，但这似乎并不重要。

14 compiling  rpm  selinux 

当试图 service openvpn start Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf 运行openvpn devnet-client-vm.conf正常。为什么openvpn无法启动？我该如何解决？

14 centos  selinux  openvpn 

我想以无法创建或打开任何要写入的文件的方式在Linux上运行命令。它仍然应该能够正常读取文件（因此不能选择空的chroot），并且仍然能够写入已经打开的文件（尤其是stdout）。 如果仍然可以将文件写入某些目录（即当前目录），则可以获得加分。 我正在寻找一种本地解决方案，即不涉及为整个系统配置AppArmor或SELinux之类的东西，也不涉及root特权。不过，这可能涉及安装其内核模块。 我正在研究功能，如果有创建文件的功能，这些功能将很容易实现。如果ulimit涵盖了此用例，则它是另一种方便的方法。

13 linux  security  selinux  apparmor  capabilities 

当应用程序想要访问分类文件或文件夹（数字签名，SSH密钥，信用卡信息和其他敏感内容）时，是否可以使Linux安全模块（例如AppArmor，SELinux等）提示用户拒绝应用程序可能需要的操作（例如，电子邮件客户端希望根据用户的请求签名电子邮件）。 为易受攻击的应用程序（尤其是Web浏览器和电子邮件客户端）设置严格的默认安全策略，并让用户决定是否需要执行给定的操作，这样可以避免系统的脆弱性，而又不会使用户的状况恶化，这将是有益的。友善。

12 linux  security  gui  selinux  apparmor 

我编写了一个服务/单个二进制应用程序，试图在Fedora 24上运行，它使用systemd运行，二进制文件已部署到 /srv/bot 我编写的此服务/应用程序需要在该目录中创建/打开/读取和重命名文件。 我首先开始基于SELinux创建新策略：允许进程在特定目录中创建任何文件 但是当我的应用需要重命名时，输出将显示警告： #!!!! WARNING: 'var_t' is a base type. allow init_t var_t:file rename; 我四处搜寻，发现我应该使用比基本类型更具体的SELinux标签，但是所有在线示例都向您展示了httpd / nginx / etc中的现有标签。 有没有一种方法可以仅为我自己的应用程序创建自定义标签？ 我的想法是创建类似myapp_var_t的东西，使用 semanage fcontext -a -t my_app_var_t '/srv/bot(/.*)?' restorecon -R -v /srv/bot 和.pp将使用此自定义类型的自定义文件 如果有更好的解决方法，那也可以。 谢谢 更新资料 经过更多搜索之后，我认为我要执行的操作的正确术语是创建新词types，这使我进入了 https://docs.fedoraproject.org/en-US/Fedora/13/html/SELinux_FAQ/index.html#id3036916 基本上说，运行 sepolgen /path/to/binary 而且我能够得到一个模板，然后将其编译成pp文件并加载，仍然会出现一些错误，但是看起来我已经接近要执行的操作了。 如果我可以使用，我会更新这篇文章

11 linux  fedora  security  selinux 

我正在迁移到已设置SELinux（运行Centos 5.5）的新Web服务器。我已经对其进行了设置，以便它可以毫无问题地执行CGI脚本，但是一些较旧的基于Perl的脚本无法连接到远程Web服务（RSS提要等）。 运行：grep perl /var/log/audit/audit.log给出： 类型= SYSCALL msg =审核（1299612513.302：7650）：arch = 40000003 syscall = 102成功=否退出= -13 a0 = 3 a1 = bfb3eb90 a2 = 57c86c a3 = 10项= 0 ppid = 22342 pid = 22558 auid = 0 uid = 48 gid = 48 euid = 48 suid = 48 fsuid …

10 centos  selinux 

我们正在使用SSSD对CentOS服务器上的用户进行身份验证。当默认主目录为/ home时，oddjobd-mkhomedir可以很好地工作，但是在特定服务器上，我们必须将默认主目录更改为/ data，该目录位于SAN挂载上。 现在，每次用户尝试登录时，他们都会使用以下消息放入bash shell中。 Creating home directory for first.last. Could not chdir to home directory /data/X.Y.local/first.last: No such file or directory -bash-4.1$ 我每次尝试都会看到以下AVC拒绝消息： type=AVC msg=audit(1492004159.114:1428): avc: denied { create } for pid=2832 comm="mkhomedir" name="x.y.local" scontext=system_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023 tcontext=system_u:object_r:default_t:s0 tclass=dir 确保已更改/ data的上下文。 drwxr-xr-x. root root system_u:object_r:home_root_t:s0 data 如果/ data与/ home具有相同的上下文，那么SELinux为什么要限制oddjobd创建/data/XYlocal/first.last？ # sestatus …

9 selinux 

已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗？更新问题，以便通过编辑此帖子以事实和引用的形式回答。 3年前关闭。 我们从另一个团队那里继承了一堆二手服务器。其中有些启用了SELinux，有些则没有。由于SELinux的，我们是无法设置密码的ssh，我们的网络服务器等，我们发现一个变通此stackexchange网站，这是运行： restorecon -R -v ~/.ssh 但是，由于我们不需要运行SELinux来完成工作，因此将其关闭可能比记住每个人都需要权限的目录运行上述cmd容易。 我们是否可以关闭SELinux而不产生任何影响，还是重新映像服务器更好？需要注意的一件事；我们的IT团队真的很忙，因此除非是绝对必要（需要非常好的业务案例），否则重新映像服务器的位置并不高...或者有人用一瓶苏格兰威士忌或威士忌贿赂老板。 更新：感谢大家的建议。这些服务器都将用作内部开发服务器。这些机器将不会有外部访问，因此安全性不是我们关注的重点。据我们所知，我们目前使用的所有服务器均未启用SELinux。我的经理刚刚获得的一些服务正在执行，而那些我们正在禁用的服务正在执行，因此集群中的所有内容都是统一的。

9 linux  ssh  selinux