Questions tagged «selinux»

每当我尝试执行此行来配置SELinux以从本教程中安装xrdp时： # chcon --type=bin_t /usr/sbin/xrdp # chcon --type=bin_t /usr/sbin/xrdp-sesman 我得到这些错误： chcon: can't apply partial context to unlabeled file '/usr/sbin/xrdp' chcon: can't apply partial context to unlabeled file '/usr/sbin/xrdp-sesman' 我使用的是CentOS 7.2 64位。

9 linux  centos  selinux 

引用“ man ls”后，它显示“ ls -Z”可以显示安全上下文： -Z, --context Display security context so it fits on most displays. Displays only mode, user, group, security context and file name. 执行“ ls -Z”命令，输出如下所示： [root@localhost ~]# ls -Z -rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg drwxrwxrwx. root root unconfined_u:object_r:admin_home_t:s0 backup 如何理解安全上下文：unconfined_u:object_r:admin_home_t:s0？“ man ls”不提供信息。

9 linux  ls  selinux 

我是SELinux的新手。来自debian。我想授予httpd目录访问权限。 SELinux Alert Browser建议： # grep httpd /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp 我不明白这个命令是如何工作的。我没有在任何地方指定目录路径。它怎么知道允许httpd的目录？ 以前，我曾使用grep从输出或文件中提取文本。但是这里grep正在一个进程中使用。我没有得到。 还有什么实际的解决方案。如果我想授予httpd对目录的写权限？

9 fedora  rhel  apache-httpd  selinux 

我目前正在启动一个在安全的沙箱环境中评估不受信任的程序（学生作业）的项目。主要思想是围绕lxc-utils为GlassFish和Java包装器创建一个Web应用程序，以管理LXC容器。它会有一个等待程序的队列，一个Java包装器将维护一个固定数量的LXC容器（池），并为每个程序分配一个（未使用的）容器。 每个容器都应使用SELinux进行保护，以保护主机系统。 我的问题是：为沙盒环境创建这样的机制是个好主意，还是有解决这个问题的更好的解决方案？它应该轻巧可靠，以防止学生的创造力。

9 security  selinux  lxc  sandbox  container 

简短版： 允许Java 7在SELinux上运行的最安全方法是什么？ 长版： 如果我使用不正确的术语，请先抱歉。我实际上只是一名Java开发人员，只具备少量的Linux技能。 我刚刚在CentOS 5.3版（最终版）上安装了Java 7，它显然具有安全性增强Linux。安装完成后（通过从Oracle中解压缩tar.gz文件来“安装”了该文件/usr/java/jdk/jdk1.7.0_25），我运行java -version并收到以下错误消息： Error: dl failure on line 864 Error: failed /usr/java/jdk1.7.0_25/jre/lib/i386/server/libjvm.so, because /usr/java/jdk1.7.0_25/jre/lib/i386/server/libjvm.so: cannot restore segment prot after reloc: Permission denied` 我发现一些文章指出这可能是由于SELinux所致，并尝试setenforce 0查看问题是否消失。我运行了该命令，Java运行正常。但是这些相同的文章说，留setenforce 0在Internet上连接的主机很危险，并且我的主机已连接到Internet。 还有其他文章建议使用这种下一种方法，但也说这可能很危险，所以我还没有尝试过。 chcon -t textrel_shlib_t /usr/jre1.7.0_10/lib/i386/client/libjvm.so ...在上述命令中，命令末尾的路径被替换为我的JDK的路径。 我找不到关于“安全地”在SELinux上运行Java 7的“官方”信息（可能意味着很多事情）。有人有我的资料吗？ 编辑： 我发现了一篇有关编辑的文章/etc/selinux/config。我已按照下面的示例所示进行设置。这样就可以运行Java，但是我想我现在有一些安全漏洞。 # This file controls the state of SELinux on …

9 linux  java  selinux 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，使它成为Unix＆Linux Stack Exchange 的主题。 3年前关闭。 我想深入学习SELinux，能够理解域，类型和交换的复杂性。 最好的方法是什么？我考虑过从Fedora开始，并且是一本不错的手册，尽管Fedora附带了许多预先编写的策略，但我发现它有些让人不知所措。 是否有适合该目的的优秀教程或学习发行版？

9 linux  selinux 

我最近做了很多chcon-ing操作，但是如果我理解正确的话，这些将在下一次重新标记时删除。有什么方法可以使当前上下文（最好是在某个目录下）永久存在？我知道可以使用来实现此目的semanage，但这意味着要回顾并检查每个文件的上下文并调用semanage以设置规则。那么，有一些自动化的方法吗？

9 selinux 

我正在使用SELINUX = enforcing在CentOS上设置Nagios核心。 我试着跑 chcon -R -t httpd_sys_content_t /usr/local/nagios/sbin/ 按照手册中的建议，但出现以下错误消息： chcon: can't apply partial context to unlabeled file `cmd.cgi' chcon: can't apply partial context to unlabeled file `trends.cgi' chcon: can't apply partial context to unlabeled file `histogram.cgi' chcon: can't apply partial context to unlabeled file `avail.cgi' chcon: can't apply partial …

9 linux  centos  selinux  nagios 

我注意到命令setebool比其他linux命令花费更长的时间。如： setsebool -P ftp_home_dir ON 出于好奇，我想知道为什么“ setsebool”命令需要这么长时间才能完成任务？

9 selinux 

我有一个在Docker容器中运行的程序，该程序加载一个.so文件，该文件通过挂钩和内存操作来更改程序的行为。SELinux通过在审核日志中显示以下消息来阻止此行为： 类型= AVC消息=审核（1548166862.066：2419）：AVC：拒绝{execheap} pid = 11171 comm =“ myProgram” scontext = system_u：system_r：container_t：s0：c426，c629 tcontext = system_u：system_r：container_t：s0： c426，c629 tclass =进程允许= 0 我非常犹豫，只是audit2allow要一直进行下去，因为我不想在其他任何地方都允许这种特定的行为（因为这样做很冒险）。 如何告诉SELinux以最安全的方式允许这种特定行为？ 我能否以允许我将来产生更多运行相同程序的Docker容器的方式来执行此操作？

8 docker  selinux 

我在新的VM上安装了anaconda，但无法列出其内容。我可以将目录更改为... / anaconda /，但是输入时ls -l得到： ls: cannot open directory .: Permission denied 但是，当我输入： sudo ls -l 我懂了 total 92 drwxrwxrwx. 2 gcw8 PosixUsers 12288 May 26 15:30 bin drwxrwxrwx. 2 gcw8 PosixUsers 12288 May 26 15:30 conda-meta drwxrwxrwx. 3 gcw8 PosixUsers 4096 Mar 27 16:33 docs drwxrwxrwx. 2 gcw8 PosixUsers …

8 permissions  ls  selinux 

我已经在Debian sid中安装了SELinux，以便使用将应用程序锁定到受限环境的沙箱，但是我无法使其正常工作。如果我尝试在许可模式下使用沙盒命令而没有任何选择，例如sandbox nano，则会出现以下错误： /usr/bin/sandbox: [Errno 22] Invalid argument 而且，如果我尝试使用带有或不带有-X选项的临时home和tmp dirs选项运行它，则会弹出另一个错误消息： Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539. Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory 我尝试在强制模式下使用沙盒应用程序，但它抱怨缺少类型强制规则。我不认为这是问题所在。有谁知道如何解决这一问题？

8 debian  selinux  sandbox 

是否可以在Linux系统下为某些用户组配置进程隐藏？ 例如：组X的用户不应在ps / top或/ proc下看到组Y的用户拥有的进程。 是否可以使用SELinux配置这样的设置？ （我模糊地记得有趣的grsecurity补丁集中的类似功能-但是IIRC，它更通用-此外，我想配置一个普通的Linux发行版而不必维护自定义内核。） 编辑：为了更好地说明，Solaris 10具有类似的功能。该示例不是通用的，而是可以配置为一个用户或某些用户只能在ps等中查看其自身进程的信息。

8 security  process  selinux  grsecurity  hardening