Skocz do zawartości

Selinux - Jdk-4_2_8


wklaczynski

Rekomendowane odpowiedzi

Nie znam tego zabezpieczenia SELinux, ale podejżewam że jest dobre. Mam graficzny konfigurator pod FC4, widać ewolucję z FC3. Mam problem , gdy wyłączę całkowicie SELinux to wszystko gra, gorzej jak jest włączony. Problem polega na tym że nie mogę dostać się do bazy danych poprzez sterownij JDBC, ale co dziwne tylko w wersji java 1.4, w wersji 1.5 wszystko działa, niestety pracuje z JBoss i on wymaga 1.4. Próbowałem jak najbliżej wykryć problem i polega on na tym że nie może otworzyć lokalnie portu 3306 kiedy aktywna jest usługa SELinux i wywołanie pochodzi z wersji java 1.4, może to nie logiczne, ale na wersji 1.5 działa. Interesuje mnie SELinux, chciałbym aby działał.

 

Jakie logi mogę podać aby ktoś z was mógł by mi pomódz rozwiązać problem?

 

Co ustawić aby umożliwić działanie w wersji Java 1.4?

 

Co ustawić aby makszymalnie zabezpieczyć próbe włamania poprzez Java 1.5, (nie chodzi o zabeapieczenia java, tylko te z selinux)?

 

Podobno SELinux blokuje procesy przez które przeprowadzony jest atak, czy dotyczy to także procesów z java? jeżeli tak to jak to ustawić?

Odnośnik do komentarza
Udostępnij na innych stronach

Jakie logi mogę podać aby ktoś z was mógł by mi pomódz rozwiązać problem?

grep avc /var/log/messages

Co ustawić aby umożliwić działanie w wersji Java 1.4?

Najprościej będzie jak użyjesz audit2allow. Zobacz to → http://fedora.redhat.com/docs/selinux-apac...ustomizing.html (od podpunktu 8.2). Co dokładnie zrobić, by działało najbezpieczniej -- nie wiem. Zapytaj się na liście fedora-selinux-list → http://www.redhat.com/mailman/listinfo/fed...ra-selinux-list -- tam dostaniesz fachową poradę, bo ja na SELinux jeszcze się nie znam za dobrze :(

Podobno SELinux blokuje procesy przez które przeprowadzony jest atak, czy dotyczy to także procesów z java?

Uściślając, SELinux blokuje procesom dostęp do niedozwolonych zasobów/obiektów. Uzyskuje się to przez napisanie odpowienich reguł bezpieczeństwa oraz nadania odpowedniego kontekstu plikom/zasobom. Oczywiście zasoby w domenie unconfined_t (w targeted-policy) działają tak jakby nie było SELinux. Odpal ps auxZ i sie dowiesz z jakimi prawami to łazi.

 

Jako lekturę możesz przeczytać:

http://www.redhat.com/magazine/006apr05/fe...atures/selinux/

http://www.redhat.com/magazine/001nov04/fe...atures/selinux/

http://fedora.redhat.com/docs/selinux-faq-fc3/

 

Miłego czytania ;-)

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...