在chroot监狱里使用SELinux是否有意义?我在想,因为在chroot监狱里,应该只有最低限度,没有太多可能会受到损害. 在chroot监狱里使用SELinux还有什么好处吗?解决方法:是的,即使在容器中也可能值得执行SELinux策略. SELinux背后的一个想法是拥有第二道防线,即如果某个容器(或chroot)中断,其中的一个进程可能仍然没有达到它想要的程度 – 或者,由于SELinux,它甚至可能无法打破容器 – 或者,它甚至不能在容器/ chroot内做一些不受欢迎的...
我使用监视工具,在我的一个远程检查的系统上,它调用一个脚本,然后运行systemctl来检查服务的状态.直到我把SELinux置于许可模式之后,这才起作用.但是,我无法将此系统置于许可模式.我需要使用semanage作为异常并将系统重新置于强制状态.我之前使用过semanage进??行处理但从不用于文件.我一直在查看手册页并搜索,但我似乎无法弄清楚我需要使用的确切命令.所以说我需要在/usr/lib64 / application / plugin文件夹中允许一个名为“run_t...
我有一个脚本,当被调用时,将导致dmesg的内容被写入文件,文件的名称基本上是一个时间戳. SELinux阻止了这一点.根据Fedora的SELinux故障排除应用程序的建议,我试过:grep dmesg /var/log/audit/audit.log | audit2allow -M mypol semodule -i mypol.pp但是,这似乎不起作用,可能是因为它创建的文件的名称每次都不同.那么如何告诉SELinux允许dmesg创建(并写入)某个目录中的任何文件?或者告诉它有问题的脚本(以及它产生的所有进程)可以...
我写了一个服务/单个二进制应用程序,我试图在Fedora 24上运行,它运行使用systemd,二进制文件部署到/ srv / bot 我编写的这个服务/应用程序需要在此目录中创建/打开/读取和重命名文件. 我首先开始创建一个基于SELinux: allow a process to create any file in a certain directory的新策略 但是当我的应用程序需要重命名时,输出有一个警告:#!!!! WARNING: 'var_t' is a base type. allow init_t var_t:file rename;我google了一下,...
我正在使用服务器通过NGINX使用php-fpm写入NFS类型的挂载点.在第一步,它显示以下错误:2017/01/16 11:32:59 [error] 55463#0: *22 FastCGI sent in stderr: "PHP message: PHP Warning: mkdir(): Permission denied in /var/www/html/x/x.php on line 75 PHP message: PHP Warning: mkdir(): Permission denied in /x/x/x/x/x.php on line 79 PHP message: PHP Warning: mkdir(): Permission denied in /x/x/x/x/x.php on line ...
简短版本:允许Java 7运行的最安全方式是什么(带?)SELinux? 长版: 如果我使用不正确的术语,请提前抱歉.我真的只是一个只有少量Linux技能的Java开发人员. 我刚刚在CentOS版本5.3(最终版)上安装了Java 7,它显然具有安全增强型Linux.安装完成后(我通过从/usr/java/jdk/jdk1.7.0_25中解压缩来自Oracle的tar.gz文件来“安装”),我运行了java -version并收到此错误:Error: dl failure on line 864 Error: failed /usr/java/jdk1.7.0_...
我需要对DAC,ACL和MAC在Linux文件安全性中扮演的不同角色进行一些澄清/确认/阐述. 经过文档的一些研究,这是我对堆栈的理解: > SELinux必须允许您访问文件对象.>如果文件的ACL(例如,ACL安装的setfacl,getfacl)明确允许/拒绝访问该对象,则不需要进一步处理.>否则,它取决于文件的权限(rwxrwxrwx DAC模型). 我错过了什么吗?是否存在不是这种情况?解决方法:当进程对文件执行操作时,Linux内核按以下顺序执行检查: > Discretionary Ac...
SELinux 的作用SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)属于内核级加强型防火墙在 CentOS 7 系统中,有三套政策,分别是:targeted:对大部分网络服务进程进行管制。这是系统默认使用的政策(下文均使用此政策)。minimum:以 targeted 为基础,仅对选定的网络服务进程进行管制。一般不用。mls:多级安全保护。对所有的进程进行管制。这是最严格的政策,配置难度非常大。一般不用,除非对安...
NameVirtualHost *:80 <VirtualHost *:80> ServerName test.baidu.com ProxyPreserveHost on ProxyPass / http://127.0.0.1:19725/ ProxyPassReverse / http://127.0.0.1:19725/ ErrorLog "logs/test.baidu.com-error.log" CustomLog "logs/test.baidu.com-access.log" common</VirtualHost> 一句话解决问题: # setsebool -P httpd_can_network_connect 1
selinux SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块。构建于kernel之上的,拥有灵活而强制的访问控制结构,旨在提高linux系统的安全性。提供强健的安全保证,可预防未知攻击,聚成相当于B1级的军事安全性能。 作用 传统linux在没有SElinux保护的时候,倘若运行于之上的服务器被骇客攻陷...
配置文件位置 /etc/selinux/config启动关闭selinux 查询当前启动状态 getenforce强制 enforcing 允许 permissive 禁用 Disabled 状态切换 修改配置文件 开启SElinux SELINUX=disabledSElINUX=enforcing 重启才能生效 注:初次启动,因为要跟新文件标签,启动时间比较长 reboot init 6 临时关闭 setenforce 0 不在生效 但是会记录文件永久关闭 修改配置文件 SELINUX=disabled配置举例 security context:安全上下文(安全环境)由以下...
策略作用,指定进程可以访问那些文件Linux命令 getsebool命令 查看seLinux策略 获取本机selinux策略值,也称为bool值ls /selinux/booleans/ |more查看策略值 cat /selinux/booleans/allow_ftpd_anon_write使用方式:setsebool [-P] Boolean value |bool1 =val1 bool2=val2.... 参数: -P 是永久行设置,否则 重启滞后有回复预设值
我已经在Texas Instruments的本教程之后在早期版本(4.4)中向Android Framework添加了一个新的系统服务 但是当我尝试在Android Lollipop中做类似的事情时,SELinux政策拒绝我这样做.这是logcat的输出.05-11 15:49:51.362 248 248 I SystemServer: Test Service Starting 05-11 15:49:51.364 248 248 I TestManagerService: Started Test Manager Service 05-11 15:49:51.370 54 54 E SELinux : avc: denied { add } ...
> Centos 7.在安装Docker期间,它说错误: ~wget -qO- https://get.docker.com/ | SH+ sh -c 'sleep 3; yum -y -q install docker-engine'Error: docker-engine-selinux conflicts with 2:container-selinux-1.10.3-59.el7.centos.x86_64You could try using --skip-broken to work around the problem** Found 13 pre-existing rpmdb problem(s), 'yum check' output follows:audit-libs-2.6.5-3.el7.x86_64 is a duplicate with a...
手动开启/关闭/查询 SELINUX状态的方法在Limx操作系统运行过程中无法使用命令停用 SELINUX,可以在内核启动参数或使用修改配置文件的方式去关闭 SELINUX安全机制。若只是要将 SELINUX安全机制转为“警告模式Warn/Permissive Enforcing)”,则可利用如下命令进行。 l setenforce1:将 SELINUX设定成启用模式。 l setenforce0:将 SELINUX设定成警告模式. l sestatus:查询系统目前的 SELINUX状态 为了设定方使, Selinux中内建了许多...