SELinux用のタグファイルを使用してsquashfsイメージを作成しようとしています。 docker buildxを使ってビルドしています。私が試した2つのアイデアは失敗しました。 setfattrまた、chconコンテナのファイルシステム内のファイルを表示する SELinux 施行ホストには適用されません。無効なパラメータのみが返されます。これにより、ラベルを設定できます。 これらのオプションを使用してxattrsを設定すると、ファイルの配置mksquashfsに1つのタグしか設定できません。しかし、最初に/etcsayを追加して/etc/aから追加...
RHEL-8.9を実行するときにselinux= enforcingselinuxはカスタマイズを必要としません。これは、rhel-8.9-x86_64-dvd.isoを介した新規インストールのデフォルト設定です。 私は問題が次のように発生すると思います。 semanage login -a -s user_u <username> そしてsemanage login -m -S targeted -s "user_u" -r s0 __default__ 私たちは[その他]問題を発見し、次のRedhat記事を介して問題をロールバックしまし...
Rocky 8.9サーバーでnginxを設定し、80および443以外のポートでリッスンしようとすると、SELinuxの問題が発生します。インターネットで推奨される解決策はすべて semanage を推奨しているようです。 semanageはpolicycoreutils-python-utilsとしてパッケージ化されており、このサーバーには存在しません。 これでパッケージをインストールできるので特別な問題ではありませんが、SELinux自体には制約を管理する独自の方法がないように驚きました。私はさまざまな方法でカーネルを直接(たとえばsysfs)調整すること...
私のホストはFedoraで、ホストでコードを実行する可能性がある0day KVM / QEMUの脆弱性に対する追加の保護層を追加したいと思います。たとえば、一部のCVEでは、特別に作成された悪意のあるWindows実行可能ファイルをWindows仮想マシンで管理者として実行すると、ホストマシンでコードが実行されます。 時々マルウェアを分析し、未知のマルウェアを実行する必要があるため、できることはあまりなく、別のコンピュータを購入したくありません。 私の質問は、SELinuxを使用してこのタイプの攻撃から自分自身を保護できるかどうかということです。それとも、K...
元のファイルのコンテキストは/run/unicorn.socktcontext=system_u:object_r:var_run_t:s0 です。 ファイルコンテキストを自動的にsystem_u:object_rにする方法:httpd_var_run_t:s0 nginx サーバが SELinux によって拒否されず、ソケットファイルに接続して書き込みできるようにソケットデバイスを起動するとき。 これは私が作ったソケットデーモンです。/usr/lib/systemd/system/unicorn.socket [Unit] Description=unic...
私はこのようなことを経験しています。ガイドこれにより、アプリケーション用のカスタムSELinuxポリシーを作成し、カーネルシステムファイルへの無制限のアクセスを制限できます。 ステップ9では、タイプ適用ファイル(mydaemon.te)にルールを追加し、次のコマンドを実行してポリシーを再構築して再インストールする必要があります。mydaemon.shスクリプト。残念ながら私';'表示で「不明な型var_log_t」エラーが発生しました次のようになります。 [ec2-user@ip-172-31-6-46 ~]$ sudo ./mydaemon.sh Buil...
audit2allow -a出力から生成されたカスタムppの元の.teファイルまたは.modファイルまたは.ppファイルはありません。ポリシーは現在サーバー上で実行されており、新しいAudit2allowルールを添付してppファイルのみを保持できる元のteファイルを復元しようとしています。 cliファイルをキャプチャするとルールが表示されますが、.teファイルを再インポートする方法が必要です。 cliファイル出力 (typeattributeset cil_gen_require nrpe_t) (typeattributeset cil_gen_requi...
RHEL 8.9では ルートIDを使用してファイルを/etc/systemd/system/作成しました。これを行うときは、デフォルトで以下のタグがあります。custom.servicevils -ldZ -rw-r--r--. 1 root root unconfined_u:object_r:systemd_unit_file_t:s0 1086 Mar 5 14:41 custom.service この場所の残りのファイルには、次のタグがあります。custom.serviceこれらの特定のタグのみを含むようにファイルを変更するにはどうすればよいで...
ルートファイルシステムのほぼすべてのファイルにSELinuxコンテキストが設定されていることを確認しました。これはカーネル4.19で構築されたカスタムLinuxイメージで、サービス管理用のsystemdサービス、コンテナ実行用のDockerランタイムなどのユーザースペースパッケージが含まれています。 SELinuxはアクティブではなく、存在/etc/selinuxしません/etc/selinux。 たとえば、 # ls -Z /bin/ls system_u:object_r:admin_home_t:s0 /bin/ls このSELinuxコンテキストが...
私たちは、libselinux、attr、OpenSSH、systemd、docker-ce、およびその他のいくつかを含むカスタムLinuxおよびユーザー領域アプリケーションを持っています。 Fedoraに似たrpmベースのビルドシステムがあります。 SElinuxを有効にしていませんが、以下のようにls -lおよびls -Zの出力でSElinuxセキュリティコンテキストを表示できます。 # getenforce Disabled 出力ls -l / # ls -l total 84 drwxr-xr-x. 2 root root 4096 Feb ...
SELinuxユーザーコンテキストに複数のユーザーを追加しました。 # semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * bob staff_u s0-s0:c0.c1023 * phil sta...
auditdSELinuxは(名前付き)プロセスの起動を許可しません。私が見つけた拒否への唯一の言及は次のとおりmyplaginです。しかし、ポリシーに追加する必要がある新しいルールが何であるかを確認するには、audit.logスタイルの拒否()を見たいと思います。 。/var/log/audit/audit.log/var/log/messagesCentos8 auditd[3119]: Unable to stat /home/cust/myplagin (Permission denied)type=AVC msg=audit(1705309402....
SELinuxとNetworkManagerと読み取り専用のrootfsを使用するようにAlmaLinux 9.2ベースのシステムを設定しようとしています。さまざまな理由で、「キーファイル」を別のパーティションに保存したいと思います。以下を含む小さな設定ファイルを追加しました/etc/NetworkManager/conf.d/20-system-connections.conf。 [keyfile] path=/data/etc/NetworkManager/system-connections/ SELinuxが「許す」限り、うまくいきます。 しかし、...
SELinuxのリマーキングは、ブート段階で長期間続くことがあります。このプロセスが別の起動によって中断された場合はどうなりますか? SELinuxが最後のブートで完了しなかった場合は、最初からやり直してください。 ...
/proc私の監査プラグインプロセスはファイルを繰り返し読み取ることができるはずです/proc/pid/statが、SElinuxはそれを拒否します。 私のプラグインのプロセスコンテキスト: ps auxZ | grep -i myplugin system_u:system_r:auditd_t:s0 root 8143 0.3 0.3 96188 6284 ? D<l 11:02 0:00 myplugin 拒否ログの例:type=AVC msg=audit(1705309402.866:1...