1read 100read
2012年6月Linux219: SE (security enhanced) Linux (407) TOP カテ一覧 スレ一覧 2ch元 削除依頼
LinuxでのCD-R/RWについてのスレ (729)
ぶちゃけるとLINUXよりWINDOWSのほうが便利 (279)
ATOK/一太郎 統合スレッド[ その2 ] (959)
【初心者】今日知った喜びを叫びながら書込むスレ2 (332)
縦書きエディタはないか (417)
Dreamlinux (200)

SE (security enhanced) Linux


1 :04/06/12 〜 最終レス :12/07/04
SE Linux についてのスレです。
利点、問題点、導入に当たっての注意など。
http://www.selinux.jp/
http://www.selinux.gr.jp/
http://www.amazon.co.jp/exec/obidos/ASIN/4847028104/ref=sr_aps_b_9/250-6763748-6898652

2 :
(;´Д`)????

3 :
3ゲトズザ

4 :
('A`)イミワカンネ
要するにパッチだろ?

5 :
audit®

6 :
とりあえずは乙と生暖かく

7 :
>>1
アマゾンには何氏に逝ったんだ?
ttp://www.amazon.co.jp/exec/obidos/ASIN/4822221113/

8 :
>>4
は?

9 :
ユーザ会のOFFまだ〜

10 :
ルート晒してる鯖のハックに誰か成功した香具師はいないの?

11 :
成功した時点でニュースになるから安心しろ

12 :
寂れてるな
このままじゃ廃れるぞ(w

13 :
日本で、しかも2chでどうなろうと全く影響ナシ。

14 :
てst

15 :
http://www.nsa.gov/selinux/code/download0.cfm
↑SELinux
kernel-2.4.22でも2.6-based SELinuxインストールしちゃって
大丈夫なんでしょうか。

16 :
なぜにSEスレ盛り上がらないのだ

17 :
>16
多数のユーザー、管理者を抱えるサーバーの運用をしてる人が2chには少ないんだろう。

18 :
導入はしてみたいんだけど、億劫でなぁ

19 :
SELinuxは他のPC-UNIXに対するかなりの利点となるはずなのにもったいない。

20 :
伸びねぇなあ

21 :
普通、盛り上げたい人が自演で書き込んだりするもんなんだけどねえ。
SELinuxに通じた人は、そういう2chのテクニックがないのかな。

22 :
SEXについて教えてエロイ人と言ってみるw

23 :
新Debianがセキュリティ強化されるようだが
http://japan.linux.com/desktop/04/08/11/0136232.shtml
それが"フロッピーやCDは自動マウントされない"
程度なのもアホらしいので、DebianユーザにseLinuxを!(ドキュメントの整備を!)

24 :
SELinux徹底ガイド
ttp://coin.nikkeibp.co.jp/coin/lin/SELinux/index.html
って良書ですか?

25 :
Trusted Solaris とか SE Linux みたいな「セキュアOS」はまず運用ポリシー
ありきなのでドキュメント云々の前に個人レベルとか中小規模では初期導入や
運用のコストにメリットがつり合わない。専門スタッフを自前で用意できる
大規模な組織で無いかぎり普通はコンサルに頼んで導入するもんだと思うよ。
ワークステーションレベルでのセキュリティは >>23 あたりの話で
十分だし、これ以上のことやられてもうっとうしいだけ。

26 :
AGEますね

27 :
SELinuxを使うとSEが儲かりそうだなー
設定がマンドクサげだし。

28 :
http://www.ussg.iu.edu/hypermail/linux/kernel/0408.2/1431.html
だそうです

29 :
>>28
訳して。

30 :
SE Linuxって略するとSExだね。

31 :
競糞

32 :
使ってる奴はおらんかー

33 :
全てはこの検索することをまるで考えていないスレタイが悪い。
Linux板はセンスの欠片も感じられないスレばかり。

34 :
もまいら一般人にはノーマルカーネルで十分

35 :
SヨLinux

36 :
ながながF通でSEやってるけどTrusted Solaris使ってるの見たことない。
なんかとんでもなくマンドクセらしいんじゃ。雨でもさっぱり
売れてないそうなんじゃ。
ましてやLinuxでそんなたいそうなもんなんか誰が使うんだ?

37 :
SELinuxもポリシーが穴なら、仏作って魂入れず。

38 :
Fedora Core 3からデフォルトでSELinux有効になるから、
そうなるとそれなりに利用者も増えると思うよ。
気づいてて使ってるかどうかは知らないけどね。

39 :
そーなると、くだ質にぎやかな悪寒

40 :
予想通り、人居ないですね。
某所で分析されてたんですが、この分析結果は、大体いい線行ってるんでしょうかね?。
少々古いですが...
http://www.ipa.go.jp/security/fy13/report/secure_os/1_Summary.pdf
SELinux B1 相当
TrustedBSD B1 相当
OpenBSD C1 相当
PitBull Foundation B1 相当 (ITSEC E3 認定)
PitBull LX C2 相当
hp virtualvault B3 相当
hp secure OS software for Linux C2 相当
Openwall C1 相当
Trusted Solaris B1 相当 (EAL4 に認定)
LOMAC C2 相当
LIDS C2 相当
Medusa DS9 B1 相当
RSBAC B1 相当

41 :
http://www.selinux.gr.jp/topic.html#20041104
--- SELinux BOF 「SELinuxナイト」開催要領--
主催:日本SELinuxユーザ会準備委員会 日経Linux
日時:11月30日(火)
場所:青山スパイラルホール
地図: http://ac.nikkeibp.co.jp/linux/security2004/images/map.gif
時間:18:00〜20:00
参加費:無料
プログラム(仮)
● 18:00-18:05
- 主催者から一言
> 日本SELinuxユーザ会準備委員会
> 日経Linux
● 18:05-19:05セッション1
- SELinuxの最新動向(仮) 日本SELinuxユーザ会準備委員会 中村雄一(代理:日立ソフト 才所秀明)
- SELinuxカーネルハッキング(仮) NEC 海外浩平
- 商用セキュアOSとSELinux(仮) 日本高信頼システム 田口裕也
● 19:10-19:46 セッション2
- なぜSELinuxの設定はむずかしいのか(仮) 日本SELinuxユーザ会準備委員会 女部田武史
- 現場からみたSELinux(仮) 日本オープンソース推進機構 小島浩之
● 19:46-20:00 フリーディスカッション

42 :
>>41
講演担当者のジエンキター

43 :
唐揚よりはまし

44 :
試しにgentooで使ってみてるけど、設定面倒だね。
まだ、enforceなんて出来ない。
gentoo特有(多分)の罠として、
udev使ってると、/devがramfsなのではまる。

45 :
これ有効にしたら重くなる?

46 :
>>45
あまり気にならないけど。
FC3でちゃんとSELinuxの機能使う人はどれぐらいいるんだろう。

47 :
>>46
インストールのとき速攻でオフにしちゃった
メジャーなディストリで標準搭載されたのはFedoraが初めてなので
急速にノウハウが蓄積されていくかもしれんし、RedHatあたりがGtk+使って
GUI設定ツールを書いてくれる可能性もある。
「よく分からない場合は切っとけ」で済まされる場合のほうが多そうだが...

48 :
Windowsでいうところのパーソナルファイアウォール相当のこと
(netfilter/iptablesでやるパケットフィルタだけじゃなくて、アプリレベルでの
細かい通信制御)をSELinuxでできんかなと妄想してる。
もちろん機能には十分すぎるんだが、それを簡単に設定するための
フロントエンドをどう作るかが問題。

49 :
>>48
人気でそうだ。つーか俺も欲しい。

50 :
>>48
デーモンの動いてるドメインとnode/portを対応させれば可能。
但し、ポリシーコンパイラがしょぼいので、書くのは大変…。
おまけにnode/port関連の性能ボトルネックがひどいんだよなぁ…。

51 :
初めて触ってみたが、結構概念が難しい。
SELinux を使いこなせるようになる道のりは遠い感じ。
で、こんなに難しいと普通のSEじゃ手が出ないので
余り普及しない(または使われない)悪寒。

52 :
デフォルト有効なのかよ!
これから勉強がたいへんだ

53 :
概念自体はそれほど難しくないんじゃない?
設定がたまらなく面倒だけど。
FC3ってデフォルトenforceモードなの?

54 :
これ、テスト用のマシンを用意して勉強しないといけないほど難しい?

55 :
FC3についてのちょっとした紹介
ttp://www.itmedia.co.jp/enterprise/articles/0411/15/news046.html

56 :
>>54
デフォルト有効と言ってもTargetポリシーだし、
自分が挙動に詳しいアプリケーションから設定を追加していけば
いいんではないでしょうか?
本当はポリシーコンパイラの記述能力が低いのが悪いと思うんだけどね。

57 :
最低限必要なサービスだけにしておかないと、定義が死ぬほど面倒くさい。
FC3がどんなかわからないけど、普通のサーバなら、
危険性があるやつだけ設定するって言うのは良いかもね。

58 :
>>51
SEがつかえないSE Linux
語呂合わせにもならねぇ(w

59 :
これ使えないと負け組みですか?NSAに勝ちたいです。

60 :
>>59
使うと自動的にNSAに通報します。

61 :
Debian sidにselinux-policy-defaultをインストールしようとしています。
しかし以下のようなエラーメッセージが出ます。何かヒントのようなものでもありますか?
ちなみにカーネルはselinux=1でブートし、その他の必要なパッケージは
coker.com.auから落として全てインストールしてあります。
# dpkg -D=3333 --configure selinux-policy-default
Setting up selinux-policy-default (1.16-1) ...
/usr/bin/checkpolicy: loading policy configuration from policy.conf
domains/program/cups.te:220:ERROR 'unknown type rpm_var_lib_t' at token ';' on line 100328:
allow cupsd_config_t rpm_var_lib_t:file { getattr read };
#line 220
/usr/bin/checkpolicy: error(s) encountered while parsing configuration
make: *** [/etc/selinux/policy/policy.18] Error 1
run-parts: /etc/dpkg/postinst.d/selinux exited with return code 2
"/bin/run-parts --arg=selinux-policy-default /etc/dpkg/postinst.d" failed: 256
dpkg: error processing selinux-policy-default (--configure):
1Error running trigger postinst: No such file or directory
Errors were encountered while processing:

62 :
えっと、Debianなのにrpmなのが不味いのかと思って、
#grep -n rpm /etc/selinux/src/domains/program/cups.te
174:ifdef(`rpm.te', `
175:allow cupsd_config_t rpm_var_lib_t:dir { getattr search };
176:allow cupsd_config_t rpm_var_lib_t:file { getattr read };
213:allow cupsd_config_t rpm_var_lib_t:file { getattr read };
この213行目をコメントアウトしたら上手くいったようです。
# make -s -C /etc/selinux/src install
/usr/bin/checkpolicy: loading policy configuration from policy.conf
security: 4 users, 6 roles, 1431 types, 27 bools
security: 53 classes, 207684 rules
/usr/bin/checkpolicy: policy configuration loaded
/usr/bin/checkpolicy: writing binary representation (version 18) to /etc/selinux/policy/policy.18
Building file_contexts ...
Validating file_contexts ...

63 :
と思ったらエラーが出てた。
/usr/sbin/load_policy: Warning! Error while getting boolean names: Success
/usr/sbin/load_policy: security_load_policy failed
make: *** [tmp/load] Error 3
にも関わらずselinux-policy-default自体のセットアップは終わったっぽい。
よく分からんね。

64 :
対応してる鳥使えばいいのに。

65 :
興味あるのでがんばって下さい

66 :
>>41
情報 Thanx!
ナイトの会、行ってきたよ。
現状はまだまだ発展途上って感じだね。
ひとつ印象に残ったのは、ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり、商用ソフトだと
最悪、訴えられる可能性もあるらしいとの事。事実、過去そうゆう事例を憂慮した意見が内部であったらしい。
現状では、どこが最終的な責任をとるのだろうか? JOSAO?
会場ではバイキング形式の軽食があった。案内に書いてないのはタダ飯食う香具師が来るのを避ける為
だろうか? 一言書いて欲しかったよ。
行く前に大盛りスパゲッティー食った俺は ヽ(`Д´)ノ

67 :
>ポリシーを書く場合、プログラムのシステムコールレベルまで掘り下げんと
>無理らしい。しかしその行為はれっきとしたリバースエンジニアリングに当たり
strace使うことがなんでリバースエンジニアリングなの?

68 :
straceかけなくても、ろぐにでるしね。

69 :
strace  リバースエンジニアリング でググれ。

70 :
>>66
ま、「食事」が目的じゃなかったしw
でもまぁ、あの時間帯設定だったら、みんなおなかすくだろうなとは思ってたけど。
ほぼ初心者でお話を聞かせて頂いていたのですが、ポリシー作るのってかなり難しいのね。
Hello World! であんなに手間掛かるとはw
使用しているライブラリの挙動すべてを把握しなければならないのは辛いね。
SELinuxの必要性はある(というか必須)、
でもそれを使うのは困難と。。。まだまだこれから、なのかなぁ。

71 :
ちなみに、Windows をセキュアOSにする製品もあるような話があった気がするけど、
ライセンス料以外で考えた場合でも、
WindowsベースのセキュアOS と SELinux だったら、SELinux の方に軍配?

72 :
>>71
オープンソースだからね。
究極的にWindowsは、M$の言う事を信じなければならない。
事象があくまでプログラムのバグだからな…。

73 :
>>72
オープンソースだから安全ってわけでもないよね。
逆にソースが分かっているんだから攻撃箇所も分かるわけだし。
しかも、脆弱性とか見つかった時の修正までの時間ってWinの方が早いらしいし。
アタックやハッキングがLinuxの方がWinよりも少ないわけでもないから、
手放しで SELinux の方がいいのかどうか疑問。
WinでもLinuxでもハッキングされた時の被害がセキュアOSにより最小限になるのであれば、
SELinuxの優位性は価格だけなのだろうか???

74 :
モジラ組みもIISなんか使ってるからあんなことに・・・

75 :
書き込み少ないね。セキュアOSスレとかだったらもっと集まるのかな?

76 :
>>75
普通のサーバに使うのは面倒くさすぎるからね。
他のってLIDSとかに限らず、Trusted Solarisとか?

77 :
使ってるアプリケーションの動作を大体のところ分っているのなら、
そんなに難しくも面倒でもないのでは?

78 :
セキュアOSカンファレンス乙

79 :
allow gikonavi_t 2ch_file_t:file r_file_perms;

80 :
>>79
実行できないじゃん。

81 :
SE Linuxを有効にしてるとapacheにてWebDAVを利用する際にある小細工をしないと動かないのがつらい。
デフォでONだし、調べてみたら結構いい感じだからね〜
他に、不具合が出るものがあったら教えてくれ。
ちなみに、vsftpdは問題ない。

82 :
>>81
vsftpdは平気なんですか。
認証とか平気ですか?shadowとかアクセスさせたくないんだけど。

83 :
普段リモートから管理するには、適当なユーザを作って
そのユーザにsysadm_rになれるようにして、
sysadm_rにしてからrootになれば良い?

84 :
>>83
適当なユーザでログインして、suでrootになって、newroleでsysadm_rになるのが正解
レガシーUNIXの特権ユーザだとか一般ユーザという考え方は、SELinuxの世界には存在
しないものと心得られよ。

85 :
selinux.jp死にっぱなし?

86 :
>>85
復活しても俺が速攻で落としてるからな。

87 :
>>84
suがsetuidされてるから怒られるのね。
だからsysadm_rにしてからsuしてた。
rootじゃないと、普通のチェック(SELinuxの前)ではじかれるから、
rootになるのは必須なんだよね。
suを許可するのが筋なのかな。

88 :
SELinuxでshadowのファイルの権限を有効にしようとして、make reloadコマンド
を打つと、エラーが出てしまいます。
どうしてですか?

89 :
FreeBSDからFedora Core3に乗り換えたけど
SELinux周りで死ぬほど苦しんでます。
詳しいページがあったら紹介してください。

90 :
>>89
sudo echo 0 > /selinux/enforce

91 :
assert.teだね

92 :
>>90
一般ユーザで行うんですか?

93 :
>>90
まぁ、それも一つの解ではあるのだけど(笑)
Perlで書かれたスクリプトを実行したら
実行されているようなんだけど(ファイル出力処理で、出力している)
print してる部分がコンソールに表示されない
./test.cgi > hoge
だと、hogeファイルにprintしてる部分が出てる
SELinuxを無効にしたら、コンソールに表示される
-rwxr-xr-x oresama oresama system_u:object_r:httpd_user_content_t test.cgi
うーむ・・・

94 :
>>93
httpd_user_script_exec_t

95 :
日立ソフトがIPAから委託されて開発した
SELinux/AID使ってる人います?
Turboは認定トレーニングはじめるみたいだけどTurboLinux10の
製品解説みると売りにしてるから多分これが前提の講習だよね。
http://www.turbolinux.co.jp/news/2005/jan/tl0118.html

96 :
>>66
> 行く前に大盛りスパゲッティー食った俺は ヽ(`Д´)ノ
いつでもハングリーでいきましょう

97 :
2.4.28/29にbackportしてSELinuxを運用している方おりますか?

98 :
SELinux運用してる例が少なそう

99 :
>1
間抜けなタイトルをつけたもんだな、間抜け。
このスレは、「selinux」で検索してもタイトルがひっかからない。
こんな間抜けなタイトルをつける底抜けにでも
FC3のはそれなりに使えてるみたいだ。

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
Linuxerが好きなプログラミング言語教えれゴルァ (536)
Linuxデスクトップ(GUI)への不満点・愚痴 (241)
ルートで操作するのは危険なの? (597)
Xwindows をインストールしてない人が集うスレッド (532)
namazuでサーバーを立てたい (420)
【初心者】LINUXって何なの?【厨房】 (300)
--log9.info------------------
【広島か?】セリーグのお荷物球団【横浜か?】 (256)
阪神が250億ぐらいで佐川に買収されそうです! (440)
田尾がやらかしそうな珍采配を予想する (453)
ラミレスにやってほしかったパフォーマンス (347)
楽天は岡山を無視したバチが当たったんだよw (245)
ペナントレースの順位は、どうやって決めるべきか? (397)
【北海道】日ハム移転 これからの展望【東京】 (497)
野球脳語録★2 (484)
牛島監督を殴って苦難を乗り越えるスレ1 (311)
近畿産業信組の大阪市民球団構想とは何だったのか (262)
FA制度の今後を考えるスレ (915)
悲しいとき・・・【2004年・プロ野球】 (627)
WBC星野監督を超猛烈に支持するスレ (297)
横浜と楽天が合併!!!?? (428)
堀内恒夫解説者を殴って苦難を乗り越えるスレ3 (237)
【6/11】第3回全板トナメ 球界改革議論2【投票日】 (309)
--log55.com------------------
テラ過疎笑
イロハ
諸君!模型ヲ語レ。
ポケモン アイリス ブス
ドラ衛門ノゲームプレー日記 イン 戦時
【三八式】戰時板銃火器店【九九式】
コノ板ニハ規制ハ関係ナイナ
トベリーノトベリーノ ドンドン、