abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 02:20 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu, upozorňuje na svém blogu, že nový Inkscape 0.92 rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Problém by měl být vyřešen v Inkscape 0.92.2 [reddit].

Ladislav Hagara | Komentářů: 0
včera 02:02 | Komunita

Øyvind Kolås, hlavní vývojář grafických knihoven GEGL a babl, které využívá grafický program GIMP, žádá o podporu na Patreonu. Díky ní bude moci pracovat na vývoji na plný úvazek. Milník 1000 $, který by stačil na holé přežití, se již téměř podařilo vybrat, dalším cílem je dosažení 2500 $, které mu umožní běžně fungovat ve společnosti.

xkomczax | Komentářů: 12
21.1. 23:54 | Pozvánky

DevConf.cz 2017, již devátý ročník jedné z největších akcí zaměřených na Linux a open source ve střední Evropě, proběhne od pátku 27. ledna do neděle 29. ledna v prostorách Fakulty informačních technologií Vysokého učení technického v Brně. Na programu je celá řada zajímavých přednášek a workshopů. Letos je povinná registrace.

Ladislav Hagara | Komentářů: 0
21.1. 22:11 | Nová verze

Byla vydána verze 1.0.0 emulátoru terminálu Terminology postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
20.1. 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 4
20.1. 15:51 | Komunita

Mozilla.cz informuje, že nástroje pro webové vývojáře se možná oddělí od Firefoxu a stanou doplňkem. Nástroje pro webové vývojáře prošly velkým přepisem a tým, který se stará o jejich vývoj, by uvítal možnost jejich častějších aktualizacích nezávisle na vydávání nových verzí Firefoxu.

Ladislav Hagara | Komentářů: 10
20.1. 07:00 | Humor

Čtenářům AbcLinuxu vše nejlepší k dnešnímu Dni zvýšení povědomí o tučňácích (Penguin Awareness Day).

Ladislav Hagara | Komentářů: 0
20.1. 06:00 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní InstallFest, jenž proběhne o víkendu 4. a 5. března v Praze. Současně byla oznámena změna místa. InstallFest se letos vrací zpět na Karlovo náměstí do budovy E.

Ladislav Hagara | Komentářů: 0
20.1. 02:48 | Komunita

Greg Kroah-Hartman potvrdil, že Linux 4.9 je jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Podpora je plánována do ledna 2019. Aktuální jádra s prodlouženou podporou jsou tedy 3.2, 3.4, 3.10, 3.12, 3.16, 3.18, 4.1, 4.4 a 4.9.

Ladislav Hagara | Komentářů: 0
20.1. 00:11 | Zajímavý článek

Výrobce síťových prvků, společnost Netgear, spustila nový program, který slibuje vývojářům, expertům, ale i běžným uživatelům vyplacení finanční odměny za nalezení bezpečnostních chyby v jejich produktech. Za nalezení zranitelnosti v hardware, API nebo mobilní aplikaci nabízí odměnu od 150 do 15 tisíc dolarů (dle závažnosti).

Michal Makovec | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (3%)
 (10%)
Celkem 363 hlasů
 Komentářů: 25, poslední 21.1. 13:34
Rozcestník
Reklama

Dotaz: SELinux. Security context ?

12.12.2007 00:13 Lemmy | skóre: 1 | blog: ctyri_iks
SELinux. Security context ?
Přečteno: 321×
Ahoj, snazim se pochopit funci "bezpecnostnich kontextu" v SELinuxu, ale stale se mi to nedari.

Mohl by mi nekdo jednoduse vysvetlit jak funguji?

Dale bych rad vedel co delat kdyz zjistim, ze nektery daemon nefunguje z duvodu spatne nastaveneho security contextu ? Jak zjistim jaky kontext mam nastavit, aby sluzba fungovala ?

Ze sluzba nefunguje kvuli spatnemu security contextu zjistim z /var/log/messages, to vim, ale co dal ?

Prosim nepiste, abych selinux vypnul, ucim se ho kvuli zkousce na rhce.

Diky za radu.

Odpovědi

michich avatar 12.12.2007 00:46 michich | skóre: 50 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: SELinux. Security context ?
V SELinuxovém systému mají prakticky všechny objekty (procesy, soubory, sokety, deskriptory, sdílené kusy paměti, semafory,...) vždy přiřazen nějaký kontext. U procesů se kontextu také někdy říká "doména", ale je to totéž. Kontext se skládá ze 3 nebo 4 částí (uživatel:role:typ[:level]), z nichž nejdůležitější je jednoznačně ta třetí - "typ". SELinuxová politika je databáze pravidel, která vyjmenovávají vše, co která doména může se kterým typem provádět. Tak třeba by tam mohlo být nějaké takové pravidlo:

allow httpd_t httpd_sys_content_t:file { read getattr };

To znamená, že Apache (který je nainstalován tak, aby běžel v doméně s typem httpd_t) může číst obyčejné soubory (file), které mají nastaven kontext s typem httpd_sys_content_t. Kontexty souborů a procesů si vypíšeš ls -Z, ps -Z.

Některá pravidla v politice jsou volitelná a dají se zapnout/vypnout pomocí SELinuxovým "booleanů". Jeden takový boolean třeba určuje, jestli má Apache mít právo spouštět CGI skripty.

Co v SELinuxové politice není povoleno, to je zakázáno. Pokusí-li se nějaký proces něco takového provést, vznikne hláška AVC denial, kde jsou podrobnosti o události zaznamenané. Může to být buď tehdy, když opravdu došlo k pokusu o útok, nebo je akce legitimní, ale chybí pro ni pravidlo v politice, nebo třeba někdo nastavil špatný kontext u souborů (typický příklad je po přesunutí souborů z /home do /var/www/html - zůstane jim kontext user_home_t a k takovým souborům má Apache zákaz).

Když vidíš AVC denial při přístupu démona k souborům, měl bys zauvažovat:
  • Je "Target Context" souboru takový, jaký bych u něj očekával? Pokud ne, musím souboru kontext nastavit správně. Nejspíš použiju restorecon, který konzultuje databázi kontextů podle celého jména souboru.
  • Není potřeba nastavit nějaký boolean? Pokud by to byl ten případ, tak by to SELinux Troubleshooter asi sám doporučil.
  • Vypadá to jako legitimní požadavek? V tom případě nahlásit do Bugzilly a dočasně to u sebe vyřešit vlastním přídavným modulem do politiky, k jehož vytvoření pomůže nástroj audit2allow. Zvládnutí tohoto případu určitě nebudou vyžadovat u RHCE zkoušky.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.