CentOS(redhat系)のSELinuxついて(ディレクトリー編)

下記は、MarkerChatのログを一部加工したものです

マーカー部分やアイコンをクリックすると当該コメントにスクロールします

MarkerChat管理者 2014-10-04 21:57:11

プロセスおよびファイルがすべて、タイプでラベル付けされています。タイプはプロセスのドメインを定義し、ファイルのタイプもあります。プロセスはそれぞれのドメインで実行することで互いに分離しており、SELinux ポリシールールはプロセスがファイルと対話する方法と、プロセス同士が対話する方法を定義します。アクセスは、明確にアクセスを許可するSELinux ポリシールールが存在する場合にのみ、許可されます。
粒度の細かいアクセス制御。ユーザーの判断に任され、Linux ユーザーおよびグループ ID に基づいて制御されている従来の UNIX パーミッションにとどまらず、SELinux のアクセス決定は、SELinux ユーザーやロール、タイプ、さらにはオプションとしてレベルなどの利用可能なすべての情報に基づいて行われます。
SELinux ポリシーは管理者が定義し、システム全体にわたって強制されるもので、ユーザーの判断で設定されるものではありません。
権限のあるエスカレーション攻撃での脆弱性が低減されます。一例を挙げると、プロセスがドメイン内で実行されるのでそれぞれ分離され、かつ SELinux ポリシールールがプロセスによるファイルおよび他のプロセスへのアクセス方法を定義することから、あるプロセスが危険にさらされても、攻撃者がアクセスできるのはそのプロセスの通常の機能とそのプロセスがアクセス権を持つ設定になっているファイルのみになります。例えば、Apache HTTP サーバーが危険にさらされても、特定の SELinux ポリシールールがユーザーのホームディレクトリーにあるファイルへのアクセスを許可するように追加・設定されていなければ、攻撃者はそのファイルを読み出すプロセスを使うことはできません。
SELinux は、データの秘密性と整合性を強化し、プロセスを信頼できない入力から守るために使用できます。
引用元: redhat.com

MarkerChat管理者 2014-10-04 22:00:02

SELinuxモード確認方法
 getenforce

MarkerChat管理者 2014-10-04 22:00:02

getenforce

レスポンス
 Enforcing・・・enforcingモード
 Disabled ・・・permissiveモード

*/etc/selinux/configを直接参照し確認する事も可能です。

MarkerChat管理者 2014-10-04 22:00:02

タイプ確認方法
 ls -aZ

MarkerChat管理者 2014-10-04 22:00:02


【レスポンス】
  -rwxrwxrwx. mysql mysql system_u: object_r: mysqld_var_run_t: s0 ファイル名

MarkerChat管理者 2014-10-04 22:00:02

-rwxrwxrwx.

アクセス権(所有者/グループ/その他)
(.)があるとSELinuxの管理下にある事示している。

MarkerChat管理者 2014-10-04 22:00:02

mysql

所有者

MarkerChat管理者 2014-10-04 22:00:02

mysql

グループ

MarkerChat管理者 2014-10-04 22:00:02

system_u

ユーザー

MarkerChat管理者 2014-10-04 22:00:02

object_r

ロール

MarkerChat管理者 2014-10-04 22:00:02

mysqld_var_run_t

ドメイン

MarkerChat管理者 2014-10-04 22:00:02

s0

レベル

MarkerChat管理者 2014-10-04 22:00:02

ファイル名

ファイル名

MarkerChat管理者 2014-10-13 04:12:38

ディレクトリーのアクセス権が正しく設定されているにも関わらず、
書込み出来ないというエラーが発生する場合、 SELinuxでの書込み権限がない為です。

MarkerChat管理者 2014-10-13 04:28:56

上記のタイプ確認後、適切に書込み権限を設定すれば完了です

MarkerChat管理者 2014-10-13 04:34:24

書込み権限を設定

chcon -Rv --type=httpd_user_content_rw_t 対象ディレクトリー

MarkerChat管理者 2014-10-13 04:42:20

httpd_user_content_rw_t

httpdユーザーに読み書き権限

© markerchat.com 2013-2015