CentOS(redhat系)のSELinuxついて(Targetedポリシー編)

下記は、MarkerChatのログを一部加工したものです

マーカー部分やアイコンをクリックすると当該コメントにスクロールします

MarkerChat管理者 2015-08-22 21:12:11

SELinuxポリシーは、すべてのユーザー、プログラム、プロセス、ファイルおよびこれらが動作するデバイスのアクセス権限を示します。SELinuxは、TargetedポリシーまたはMultilevel Security (MLS)ポリシーを実装するように構成できます。
システム上で攻撃対象となる可能性が最も高い限られた数のプロセスに、アクセス制御を適用します。ターゲット・プロセスは、攻撃者が悪用する可能性のあるファイルへのアクセスを制限する、制限されたドメインと呼ばれる独自のSELinuxドメインで実行されます。ターゲット・プロセスが制限されたドメイン外のリソースにアクセスを試みていることが検出された場合、SELinuxはこれらのリソースへのアクセスを拒否して、拒否を記録します。制限されたドメインでは、特定のサービスのみが実行されます。例として、httpd、named、sshdなど、ネットワーク上でクライアント・リクエストをリスニングするサービス、およびpasswdなど、ユーザーのかわりにタスクを実行するためにrootとして実行されるプロセスがあげられます。多くのユーザー・プロセスを含め、その他のプロセスは、DACルールのみが適用される制限されないドメインで実行されます。制限されないプロセスが攻撃によって危険にさらされた場合、SELinuxはシステム・リソースおよびデータへのアクセスを防ぐことはできません。
引用元: 第3章 Oracle Linuxセキュリティの実装

MarkerChat管理者 2015-08-22 21:18:34

現在の設定を確認
getsebool -a
※非常にたくさんの項目が有るため、grepなどで表示を絞り込んだ方がいいと思います。

MarkerChat管理者 2015-08-21 21:20:54

grepなどで表示を絞り込んだ

getsebool -a | grep httpd

MarkerChat管理者 2015-08-22 21:27:44

外部データベースへのアクセスを許可
setsebool -P httpd_can_network_connect_db 1

MarkerChat管理者 2015-08-22 21:31:23

-P

Permanents ⇨ リブートしても保持される

© markerchat.com 2013-2015