wklaczynski Napisano Kwiecień 25, 2005 Zgłoszenie Share Napisano Kwiecień 25, 2005 Nie znam tego zabezpieczenia SELinux, ale podejżewam że jest dobre. Mam graficzny konfigurator pod FC4, widać ewolucję z FC3. Mam problem , gdy wyłączę całkowicie SELinux to wszystko gra, gorzej jak jest włączony. Problem polega na tym że nie mogę dostać się do bazy danych poprzez sterownij JDBC, ale co dziwne tylko w wersji java 1.4, w wersji 1.5 wszystko działa, niestety pracuje z JBoss i on wymaga 1.4. Próbowałem jak najbliżej wykryć problem i polega on na tym że nie może otworzyć lokalnie portu 3306 kiedy aktywna jest usługa SELinux i wywołanie pochodzi z wersji java 1.4, może to nie logiczne, ale na wersji 1.5 działa. Interesuje mnie SELinux, chciałbym aby działał. Jakie logi mogę podać aby ktoś z was mógł by mi pomódz rozwiązać problem? Co ustawić aby umożliwić działanie w wersji Java 1.4? Co ustawić aby makszymalnie zabezpieczyć próbe włamania poprzez Java 1.5, (nie chodzi o zabeapieczenia java, tylko te z selinux)? Podobno SELinux blokuje procesy przez które przeprowadzony jest atak, czy dotyczy to także procesów z java? jeżeli tak to jak to ustawić? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
gajownik Napisano Kwiecień 27, 2005 Zgłoszenie Share Napisano Kwiecień 27, 2005 Jakie logi mogę podać aby ktoś z was mógł by mi pomódz rozwiązać problem? grep avc /var/log/messages Co ustawić aby umożliwić działanie w wersji Java 1.4? Najprościej będzie jak użyjesz audit2allow. Zobacz to → http://fedora.redhat.com/docs/selinux-apac...ustomizing.html (od podpunktu 8.2). Co dokładnie zrobić, by działało najbezpieczniej -- nie wiem. Zapytaj się na liście fedora-selinux-list → http://www.redhat.com/mailman/listinfo/fed...ra-selinux-list -- tam dostaniesz fachową poradę, bo ja na SELinux jeszcze się nie znam za dobrze Podobno SELinux blokuje procesy przez które przeprowadzony jest atak, czy dotyczy to także procesów z java? Uściślając, SELinux blokuje procesom dostęp do niedozwolonych zasobów/obiektów. Uzyskuje się to przez napisanie odpowienich reguł bezpieczeństwa oraz nadania odpowedniego kontekstu plikom/zasobom. Oczywiście zasoby w domenie unconfined_t (w targeted-policy) działają tak jakby nie było SELinux. Odpal ps auxZ i sie dowiesz z jakimi prawami to łazi. Jako lekturę możesz przeczytać: http://www.redhat.com/magazine/006apr05/fe...atures/selinux/ http://www.redhat.com/magazine/001nov04/fe...atures/selinux/ http://fedora.redhat.com/docs/selinux-faq-fc3/ Miłego czytania ;-) Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się