Fedora CentOSなどLinuxリリース版SELinuxセキュリティ設定問題再考
Fedora CentOSなどLinuxリリース版SELinuxセキュリティ設定問題再考
作者:おじいさん リリース:2011-12-31 11:37
私は2つのログを書いたことがあります.SELinuxのセキュリティ設定に関する問題です.参考にしてください.
私たちはいったいSELinuxを使うべきですか?
SELINUXの権限について
先日、同僚が現場に行ってお客様にシステムを配置し、RHEL 5.6を組み立てた後、ftpとhttpがつながっていないことに気づいたが、サーバーの起動とサービス状態は正常で、ftpの返却結果は
500 OOPS: cannot change directory:/home/userDir
私は彼に権限を確認させたり、ログインしたユーザーなどを確認させたりしましたが、これらは問題なく、SELinuxの状態はどうですか?彼は開いていると言って、私はこの問題だと知っています.これらのバージョンの後、デフォルトSELinuxはネットワーク操作のローカルファイルシステムを厳格に制御しています.私はこれらのことを言う必要があると思います.
まず2つのコマンド、getseboolとsetsebool、名前から分かるように、これはSELinux関連の構成を設定するスイッチ(ブール値)であり、各スイッチの役割を説明すればよい.
これらを見終わったら、SELinuxの設定方法を知っておくべきです.ここにはよく使うものだけがリストされています.
詳細については、以下を参照してください.http://linux.die.net/man/8/setsebool
作者:おじいさん リリース:2011-12-31 11:37
私は2つのログを書いたことがあります.SELinuxのセキュリティ設定に関する問題です.参考にしてください.
私たちはいったいSELinuxを使うべきですか?
SELINUXの権限について
先日、同僚が現場に行ってお客様にシステムを配置し、RHEL 5.6を組み立てた後、ftpとhttpがつながっていないことに気づいたが、サーバーの起動とサービス状態は正常で、ftpの返却結果は
500 OOPS: cannot change directory:/home/userDir
私は彼に権限を確認させたり、ログインしたユーザーなどを確認させたりしましたが、これらは問題なく、SELinuxの状態はどうですか?彼は開いていると言って、私はこの問題だと知っています.これらのバージョンの後、デフォルトSELinuxはネットワーク操作のローカルファイルシステムを厳格に制御しています.私はこれらのことを言う必要があると思います.
まず2つのコマンド、getseboolとsetsebool、名前から分かるように、これはSELinux関連の構成を設定するスイッチ(ブール値)であり、各スイッチの役割を説明すればよい.
// SELinux [root@rhel6 www] # getsebool -a |grep httpd allow_httpd_anon_write --> off allow_httpd_mod_auth_ntlm_winbind --> off allow_httpd_mod_auth_pam --> off allow_httpd_sys_script_anon_write --> off httpd_builtin_scripting --> on httpd_can_check_spam --> off httpd_can_network_connect --> on httpd_can_network_connect_cobbler --> off httpd_can_network_connect_db --> off httpd_can_network_relay --> off httpd_can_sendmail --> off httpd_dbus_avahi --> on httpd_enable_cgi --> on httpd_enable_ftp_server --> off httpd_enable_homedirs --> off httpd_execmem --> off httpd_read_user_content --> off httpd_setrlimit --> off httpd_ssi_exec --> off httpd_tmp_exec --> off httpd_tty_comm --> on httpd_unified --> on httpd_use_cifs --> off httpd_use_gpg --> off httpd_use_nfs --> off { ftp } // Anonymous chcon -R -t public_content_t /var/ftp // chcon -t public_content_rw_t /var/ftp/incoming // allow_ftpd_anon_write setsebool -P allow_ftpd_anon_write=1 // setsebool -P ftp_home_dir 1 // ftp setsebool -P ftpd_is_daemon 1 // SELinux FTP setsebool -P ftpd_disable_trans 1 {httpd} // setsebool -P allow_httpd_anon_write=1 // setsebool -P allow_httpd_sys_script_anon_write=1 // http cgi setsebool -P httpd_enable_cgi 1 // http setsebool -P httpd_enable_homedirs 1 chcon -R -t httpd_sys_content_t ~user /public_html // http setsebool -P httpd_tty_comm 1 // http setsebool -P httpd_unified 0 // http context setsebool -P httpd_builtin_scripting 0 // http setsebool -P httpd_can_network_connect 1 // suexec setsebool -P httpd_suexec_disable_trans 1 // SELinux httpd setsebool -P httpd_disable_trans 1 service httpd restart {named} // setsebool -P named_write_master_zones 1 // SELinux named setsebool -P named_disable_trans 1 service named restart {nfs} // nfs setsebool -P nfs_export_all_ro 1 // nfs setsebool -P nfs_export_all_rw 1 // nfs setsebool -P use_nfs_home_dirs 1 {samba} // chcon -t samba_share_t /directory // setsebool -P allow_smbd_anon_write=1 // samba , setsebool -P samba_enable_home_dirs 1 // samba setsebool -P use_samba_home_dirs 1 // SELinux samba setsebool -P smbd_disable_trans 1 service smb restart { rsync } // rsync chcon -t public_content_t /directories // setsebool -P allow_rsync_anon_write=1 // SELinux rsync setsebool -P rsync_disable_trans 1 {kerberos} // kerberos setsebool -P allow_kerberos 1 // kadmind krb5kdc setsebool -P krb5kdc_disable_trans 1 service krb5kdc restart setsebool -P kadmind_disable_trans 1 service kadmind restart {nis} // nis setsebool -P allow_ypbind 1 これらを見終わったら、SELinuxの設定方法を知っておくべきです.ここにはよく使うものだけがリストされています.
詳細については、以下を参照してください.http://linux.die.net/man/8/setsebool