無制限のアプリケーションにfcontextを追加する

無制限のアプリケーションにfcontextを追加する

これは史上最も恐ろしい運命の反転のように感じられます。ユーザーが私にtomEE(apache-tomee-jaxrs-1.7.4)を設定するように依頼しました。これはRHEL6システムにあります。

私はApacheのウェブサイトに提供されているtarballからそれをインストールして動作させました...selinuxそしてそれがソースから来たので...基本的なコンテキストが適用されていないことに気づきました。

以前はこれを行う必要はありませんでした。通常、安全な状態で作業を行うためにselinuxと戦うでしょう。これで、すでに作業している作業を制限されたスペースに強制する必要があります。どこで何をすべきかわかりません。スタート。

だから私の質問は...現在、基本的な無制限環境にのみ設定されているものに対して限られたスペースを構築するにはどうすればよいですか?

答え1

カスタムSELinuxポリシーモジュールを書いた経験がない場合は、policygentool最小限のモジュールを構築することから始めることができます。このモジュールには、デフォルトのファイル形式、タグ付け規則、および制限付きドメインへの移行が含まれています。

  1. 基本モジュールの作成policygentool <name> <executable>

    重要なファイルは、タイプ強制(.te)ファイルとファイルコンテキスト(.fc)ファイルです。ポリシールールはタイプ適用ファイルにあり、ラベルルールはファイルコンテキストファイルにあります。追加のタグルールが必要な場合は、ファイルコンテキストファイルで定義します。

  2. 提供されたmakefileを使用してselinux-devel(または同様の)戦略モジュールをコンパイルします。/usr/share/selinux/devel/Makefileその後、モジュールの取り付けに使用しますsemodule

    残りの戦略はを使用して作成できますaudit2allow。アプリケーションを実行する前にsemanage permissiveドメインを許可モードに設定して、AVC拒否メッセージが生成されたときに通常の動作を許可できます。

  3. 十分なログが得られると、ルールが生成され、audit2allowタイプ適用ファイルに追加されます。また、バージョン番号を上げてください。次に、新しいモジュールをコンパイルしてインストールします。

  4. AVC 拒否メッセージが生成されなくなったら、ドメインを再試行モードに変更できます。それ以外の場合は、手順3から繰り返してください。

関連情報