2

CentOS 6 の使用

2 つの Apache httpd サービスを実行しています。最初のものは、オペレーティング システムを管理するための REST インターフェイスと UI を提供します (サービスの開始/停止、suid を使用したシステム コマンドの実行、システム設定の変更など)。この httpd サービス (ポート 5555 で実行) は、管理目的で使用されるため、特定の IP 範囲 (ファイアウォール) からのみアクセスできます。

2 番目の httpd サービス (ポート 80 および 443) は、インターネット上で表示されます。外部の顧客に Web アプリケーションを提供します。

最初の httpd には、OS ファイル/プロセスへのアクセスを増やすための selinux ポリシーが必要です。2 つ目は、そのコンテキスト内で許可されていることに対して厳密な selinux ポリシーが必要です。2 つ目は、Web アプリケーションのセキュリティを強化し、Web アプリケーションのエクスプロイトが OS にアクセスすることすらできないようにするために、このようにする必要があります。

両方の httpd プロセスが異なるユーザーとして実行されています。

  1. 同じ httpd 実行可能ファイルに対して 2 つの異なるポリシー セットで selinux を使用できますか?
  2. httpd プロセス コンテキストを設定して、httpd の起動時に別のポリシー セットに切り替えるにはどうすればよいですか?
  3. httpd バイナリのコピーを作成し、すべての新しいポリシーを使用する selinux コンテキストを変更するだけの問題ですか (httpd バイナリのラベルを変更しますが、これ以上かかると確信しています)。
  4. 既存の httpd selinux 設定を新しい名前にコピーする手順は?

これは、httpdpublic と httpdprivate の selinux コンテキストが必要なことに帰着すると思います。以前にこのようなことをした人は、ガイダンスを提供したり、代替ソリューションを提案したりできますか? ありがとう

4

0 に答える 0