在内核中没有se linux部分的 Linux发行版吗?对不起,如果这是愚蠢的问题;),但我的发行版(debian)有它,我发现它在kernel.org上的内核中,所以我想知道它是否如此受欢迎,以至于每个发行版都有它或者删除这部分内核并使用某些东西其他?如果有没有这个内核部分的发行版(我的意思是完全删除,不仅仅是禁用并等待在启动时启用,如debian)你能给出一些例子吗? 如果您担心哪些模块和功能
我经常遇到SE Linux的问题,其中大部分都是我最终解决的.在某些情况下,自定义策略会非常优雅且更合适.我想获得能够完全满足SELinux所需要的技能.理想情况下,我最终能够自己实施严格的政策. 我正在寻找有关从何处入手或如何进入SELinux的建议.似乎Dan Walsh和Stephen Smalley是互联网上唯一似乎理解一切的人(他们总是看到一半的名字来完全解决SELinux问题). 我不
安装Nagios NRPE& Nagios插件,我在我的rsyslog中收到以下条目: May 13 14:01:30 wcmisdlin02 kernel: type=1400 audit(1305309690.482:2334): avc: denied { getattr } for pid=3835 comm="sh" path="/usr/bin/sudo" dev=dm-0 in
出于某种原因,我不能从非root用户那里获取root权限: [rilindo@kerberos ~]$/bin/su -
-bash: /bin/su: Permission denied 从/var/log/audit/audit.log运行输出要么返回: [root@kerberos tmp]# cat /tmp/audit
type=AVC msg=audit(1319322088.937:
我试图在CentOS 6上使用SE Linux启动 MySQL但是我收到以下错误. 131212 09:08:08 mysqld_safe mysqld from pid file /var/run/mysqld/mysqld.pid ended
131212 09:08:58 mysqld_safe Starting mysqld daemon with databases from /u/my
有没有办法使用 proxmox 4.2在基于LXC的容器上启用SELinux? 如果通过“启用”你的意思是在容器中有一个完整的SELinux策略,答案是否定的. 当然,部署容器的主机可以强制执行SELinux,并且容器内的进程也可以被限制. 从主机服务器的角度来看,这种限制是有效的. 支持libvirt managed LXC containers的sVirt MCS / MLS限制(以及基于码头
通过我迄今为止的(短期)工作经验,从实施的角度以及如何管理SE Linux,我已经获得了很多关于SELinux工作原理的知识. 我个人对SELinux有几种疑虑,例如在许多方面似乎过于复杂,以至于安全性似乎很难推理.所以,我想知道SELinux这个行业有多热情. 您是否在其中一台生产服务器上使用SELinux?如果是这样,你有什么样的成功?没有严重泄露细节,但您是否为与政府有关的组织(DoD /
我暂时跑了这个: semanage permissive -a httpd_t 调试我遇到的域进程类型问题,但现在我似乎无法撤消它. 我尝试将“许可”与“强制执行”交换,但响应是: idiot, RTFM 不,我在开玩笑,实际的反应是: usage: semanage [-h]
{import,export,login,user,port,interface,module
不久前,我们开始在我们的 Linux服务器上针对Active Directory验证用户身份.就实际的身份验证部分而言,事情进展顺利. 然而,其中一个副作用是Linux认为(有点正确)它有几千(~15-20k)用户.我们已经看到了几个似乎与SELinux相关的问题(其中一个是https://serverfault.com/questions/236419/usr-bin-install-hangs
我正在关注 this (basic) security guide将我的服务器的SSH端口更改为其他内容. 它说: $semanage port -a -t ssh_port_t -p tcp 2345 #Change me …这将在端口2345上添加一个新标签,表示这与SSH相关,并且SSH进程可以访问此端口. 让我烦恼的是,这不会删除旧端口22上的标签. 将旧标签留在原处是否更安全,或者拆下它
在RHEL 6.2上,我们在主机上使用httpd作为另一台主机上Tomcat的前端代理,我们还将mod_status配置为侦听非标准端口以向监视工具提供状态信息.因此,我们需要httpd来1)建立网络连接,2)监听非标准端口. 默认目标策略(当前处于许可模式)仅允许httpd侦听已定义的端口列表(semanage port -l | grep http_port_t),并且不允许httpd进行出站
我正在尝试在带有Squid 3.1.12的CentOS 5.5服务器上启用SE Linux,它通过ncsa_auth处理身份验证. 当我关闭SElinux时,一切正常,但是当我启用它时,Squid在身份验证插件ncsa_auth上崩溃了. 这是错误消息: May 29 19:12:21 us squid[1458]: Squid Parent: child process 1493 started
我正在使用 freeIPA来定义RBAC,HBAC和sudo规则,以及用于几百个虚拟机的域的SELinux用户映射,我需要为几个团队(开发人员,数据库管理员,系统管理员)授予不同级别的访问权限,管理,…). 目前,这些机器上的SELinux策略设置为目标,我正在考虑删除unconfined_u SELinux用户的可能性,以使这些系统在严格的策略下运行. 为了做到这一点,其中一个要求是向最终用户透
我正在使用Fedora发行版 – 预装了SE Linux政策.我想在〜/ .ssh文件夹中限制对我的私钥的不安全访问 – 以防止可能在我的帐户下运行的恶意软件泄露.根套件是不可能的. 更新#1: 我想解决新手Fedora用户的企业问题 – 没有USB令牌等.他们可能会使用非常弱的密码短语.如果只有root用户和ssh客户端程序可以访问私钥,那就没问题.实际的人类用户无需查看私钥 – 我不知道为任何
我需要知道运行系统当前规则中与se linux类型相关的所有内容: >允许,allowaudit,dontaudit规则. >使用类型标记上下文的文件. >过渡. ……以及任何其他信息. 是否有任何可用于查询该信息的命令,或者我是否应该下载所有与selinux相关的“src”软件包,过滤掉未使用的模块并为该信息grep每个文件?必须有一种更简单的方法来做到这一点. 获取此信息的一些命令是(示例使用
我在CentOS服务器上运行Samba,我遇到了一个问题,它允许我连接到服务器并查看共享,但将共享显示为空目录.我觉得这个行为很奇怪. 这是我的smb.conf中给定共享的节: [seanm]
path = /home/seanm
writeable = yes
valid users = seanm, root
read only = No 这是我在服务器端看到的
我测试驱动开发,我的所有API都通过一批测试进行测试.最初,我在se linux中以’permissive’模式运行测试. 所以,我决定启用selinux’强制’模式.显然,我开始在audit.log中获得AVC拒绝,一半的测试都失败了. 因此,我使用audit2allow为audit.log中的所有失败的东西(许多拒绝)创建了一个模块,并使用semodule -i将新模块合并到内核中. 然而,有
对于任意对象类型,例如user_tmp_t,我想知道允许哪些进程访问此标记.如何查找引用user_tmp_t的所有允许规则? 您无法直接找到可以转换为给定类型的进程,但您可以间接地进行此类操作. 是时候熟悉搜索工具了.此工具允许您以各种方式查询SELinux策略. 在这里,我们将看到哪些类型可以转换为user_tmp_t类型.其中包括您感兴趣的流程的类型.正如您所看到的,这也为您提供了一些关于流程
我配置了SE Linux: semanage login -a -s user_u mary
setsebool user_exec_content off 一般配置是 SELINUX=enforcing
SELINUXTYPE=targeted 当我登录mary帐户时,我仍然可以在她的帐户中运行脚本但是setsebool(user_exec_content = off)应该禁止这样做吗? 谁能指
我在一个模块中有一个类: # File: modules/selinux/tools.pp
class selinux::tools {
$packages = ['policycoreutils-python',]
package { $packages:
ensure => installed
}
} 然后,我的
