Selinux I Lstat

[kolorado]

Witam, mam problem z uruchamianiem skryptow .cgi z pakietu "Lstat" poza domyslnym katalogiem '/var/www/cgi-bin' - jak sie zorientowalem przyczyna takiego stanu jest SELinux, a wlasciwie jego polityka bezpieczenstwa. SELinux nie dopuszcza do uruchamiana skryptow. (Przy wylaczonym SELinux sprypty uruchamiaja sie poprawnie).

Czy istnieja jakies narzedzia do edytowania polityki SELinux, ewentualnie jakie wpisy dodac/usunac do pliku konfiguracyjnego SELinux.

Pozdrawiam.

[@perl]

zacznij od tego i linkow tam podanych: http://www.linux.com.pl/debian/Swiat_Debiana_nr12.html

 

a potem jak bedziesz wiedzial "jak to sie je" to z menu wybierz "Poziom Bezpieczeństwa" i zmodyfikuj polityke

 

 

[gajownik]

Nadaj plikom odpowiedni kontekst. Otwórz manula httpd_selinux i znadziesz tam różne różności ;-) Zainsteresuj się szczególnie typami httpd_sys_script_*

[Mati_17]

Witam, mam taki sam problem jak kolega, tylko ze jestem bardziej zielony, a mianowicie w jaki sposób nadac plikom ten kontekst, no i najwazniejsze czy zmiana kontekstu wpływa w jakimś wiekszym stopniu na bezpieczenstwo systemu ??

[gajownik]

w jaki sposób nadac plikom ten kontekst

 

Przecież przykłady masz w manie httpd_selinux. Coś w stylu:

 

chcon -R -v -h -t httpd_sys_content_t /srv/www

 

ustawi rekurencyjnie typ wszystkim plikom w danym katalogu. man chcon.

 

czy zmiana kontekstu wpływa w jakimś wiekszym stopniu na bezpieczenstwo systemu ??

 

To zależy jaki kontekst nadasz. W zależnosci od typu możesz pozwolić/zabronić danemu procesowi dostępu do danych. Podobny efekt jak przy ustawianiu praw dostępu, tyle, że masz znaaaacznie wiekszą kontrolę. Warto tylko pamiętać, że najpierw sprawdzane są prawa dostępu, a dopiero potem kontekst plików/procesów.

[lone_wolf]

To ja się podepnę pod ten temat. Sprawa jest taka że kiedyś używając free bsd robiłem następujacy numer:

Po zalogowaniu do x-ów odpalałem terminal i wykonywałem jako root

1) sysctl kern.securelevel=3

2) chflags -R schg /etc

Dzięki temu system był w miarę bezpieczny a intruz w razie włamania już nie był w stanie podmienić plików systemowych. Tu mam pytanie: czy nadawanie plikom kontekstu jest odpowiednikiem tej drugiej komendy tzn chflags z freebsd. Jakoś do teraz selinux to dla mnie ciemna masa.

[gajownik]

To ja sie podepne pod ten temat.

 

http://forum.fedora.pl/index.php?showtopic=1058 §4 8

 

2) chflags -R schg /etc

 

http://linuxhelp.blogspot.com/2005/11/make...which-even.html

 

czy nadawanie plikom kontekstu jest odpowiednikiem tej drugiej komendy tzn chflags z freebsd

 

Nie bardzo. SELinux implementuje w systemie MAC, które okresla prawa dostepu na poziomie plików/procesów, a nie uzytkownika, który dany proces uruchamia. Daje on wieksza kontrole i odseparowanie dzialajacych programów.

 

http://fedora.redhat.com/docs/selinux-faq-fc5/#id2908065

[gregor_szczecin]

witam

zacznij od tego i linkow tam podanych: http://www.linux.com.pl/debian/Swiat_Debiana_nr12.html

link nie działa ma ktoś pomysł gdzie to przeniesione?

mam problem zainstalowałem serwer pocztowy qmail i zarządzanie nim przez vpopmail przez www działa tylko przy wyłączonym SELinux

podzielcie sie linkami ale po polsku