O SELinux (Security-Enhanced Linux) é uma implementação de uma arquitetura flexível de controle de acesso obrigatório (MAC) baseada em funções no Linux através de modificações do kernel e ferramentas do usuário. É usado principalmente para limitar processos e usuários do sistema além do mecanismo básico de Controles de Acesso Discricional (DAC) ou da lista de controle de acesso encontrada nos sistemas * nix.
Preciso desativar o SELinux, mas não consigo reiniciar a máquina segui este link onde recebo o comando abaixo setenforce 0 Mas depois de executar este comando, verifiquei se sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file:...
Alguém sabe qual é o sebool para permitir acesso de gravação httpd a / home / user / html? Quando desativo o SELinux echo 0 > /selinux/enforce, posso escrever, então meu problema está definitivamente relacionado ao SELinux. Só não sei qual é o caminho certo sem abrir um grande buraco e o Google...
Quando o SELinux é instalado em um sistema, suas regras são aplicadas antes ou depois das permissões padrão do Linux? Por exemplo, se um usuário linux não raiz tentar gravar em um arquivo com permissão linux -rw------- root root, as regras do SELinux serão verificadas primeiro ou serão aplicadas as...
Estou planejando voltar ao Linux como uma máquina de desktop. Eu gostaria de torná-lo mais seguro. E tente algumas técnicas de proteção, principalmente porque pretendo obter meu próprio servidor. O que seria uma boa e sã estratégia de fortalecimento? Quais ferramentas devo usar - Apparmor,...
Li ou ouvi em algum lugar (talvez no curso SELinux do LinuxCBT ; mas não tenho certeza) que existem servidores Linux online, para os quais também é fornecida a senha do usuário root. O servidor Linux é reforçado usando as regras do SELinux, de modo que todos possam fazer login com o usuário root,...
Preciso de alguns esclarecimentos / confirmação / elaboração sobre os diferentes papéis que DAC, ACL e MAC desempenham na segurança de arquivos do Linux. Após algumas pesquisas na documentação, esta é minha compreensão da pilha: O SELinux deve permitir o acesso ao objeto arquivo. Se ACLs do...
Instalei recentemente o Fedora 14 no meu PC doméstico e tenho trabalhado na configuração de diferentes recursos relacionados ao servidor, como apache, mysql, ftp, vpn, ssh, etc. Corri extremamente rapidamente para uma barreira que parecia quando descobri o SELinux Eu nunca tinha ouvido falar....
Eu estou tentando construir um RPM que as metas RHEL4 e 5. Agora eu chamo chconde %postmas várias entradas do Google dizem "isso não é como você é suposto a fazê-lo" com a ajuda muito limitado na direita caminho. Também notei que fixfiles -R mypackage checkos arquivos estão errados quando estão...
ao tentar service openvpn start Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf correr openvpn devnet-client-vm.conffunciona muito bem. Por que o openvpn não inicia? como posso consertar
Quero executar um comando no Linux de uma maneira que não possa criar ou abrir nenhum arquivo para gravação. Ele ainda deve ler os arquivos normalmente (portanto, um chroot vazio não é uma opção) e ainda pode gravar em arquivos já abertos (especialmente stdout). Pontos de bônus se a gravação de...
É possível fazer um módulo de segurança Linux (por exemplo, AppArmor, SELinux etc.) avisar o usuário, quando um aplicativo deseja acessar arquivos ou pastas classificados (assinaturas digitais, chaves SSH, informações de cartão de crédito e outras coisas sensíveis) em vez de apenas negar a ação do...
Eu escrevi um serviço / aplicativo binário único que estou tentando executar no Fedora 24, ele roda usando systemd, o binário é implantado no /srv/bot este serviço / aplicativo que escrevi precisa criar / abrir / ler e renomear arquivos nesse diretório. Comecei a criar uma nova política baseada...
Estou migrando para um novo servidor da web que tenha o SELinux configurado (executando o Centos 5.5). Eu o configurei para que ele possa executar scripts CGI sem nenhum problema, mas alguns dos scripts mais antigos baseados em Perl não conseguem se conectar a serviços da Web remotos (feeds RSS e...
Estou configurando o núcleo do Nagios no CentOS com SELINUX = reforçando. Eu tento correr chcon -R -t httpd_sys_content_t /usr/local/nagios/sbin/ conforme sugerido no manual , mas recebo estas mensagens de erro: chcon: can't apply partial context to unlabeled file `cmd.cgi' chcon: can't apply...
chconUltimamente, eu fiz várias coisas , mas se eu entendi direito, elas serão apagadas na próxima remarcação. Existe alguma maneira de tornar os contextos atuais (preferencialmente apenas em um determinado diretório) permanentes? Entendo que existe uma maneira de fazer isso usando semanage, mas...
Fechadas. Esta questão está fora de tópico . No momento, não está aceitando respostas. Deseja melhorar esta pergunta? Atualize a pergunta para que ela esteja no tópico do Unix e Linux Stack Exchange. Fechado há 3 anos . Quero aprender o SELinux em um...
Notei que o comando setsebool leva mais tempo que outros comandos linux. Tal como: setsebool -P ftp_home_dir ON Por curiosidade, quero saber por que o comando "setsebool" precisa de tanto tempo para concluir a tarefa?
Versão curta: Qual é a maneira mais segura de permitir que o Java 7 seja executado no (com?) SELinux? Versão longa: Desculpe antecipadamente se eu usar terminologia incorreta. Na verdade, sou apenas um desenvolvedor Java com poucas habilidades em Linux. Acabei de instalar o Java 7 no CentOS,...
Atualmente, estou iniciando um projeto avaliando programas não confiáveis (tarefas dos alunos) em um ambiente seguro de área restrita. A idéia principal é criar um aplicativo Web para o wrapper GlassFish e Java em torno do lxc-utils para gerenciar contêineres LXC. Ele terá uma fila de programas...
Após se referir " man ls", mostra " ls -Z" pode exibir o contexto de segurança: -Z, --context Display security context so it fits on most displays. Displays only mode, user, group, security context and file name. Executando o ls -Zcomando " ", a saída fica assim: [root@localhost ~]# ls...