CentOS 6 の使用
2 つの Apache httpd サービスを実行しています。最初のものは、オペレーティング システムを管理するための REST インターフェイスと UI を提供します (サービスの開始/停止、suid を使用したシステム コマンドの実行、システム設定の変更など)。この httpd サービス (ポート 5555 で実行) は、管理目的で使用されるため、特定の IP 範囲 (ファイアウォール) からのみアクセスできます。
2 番目の httpd サービス (ポート 80 および 443) は、インターネット上で表示されます。外部の顧客に Web アプリケーションを提供します。
最初の httpd には、OS ファイル/プロセスへのアクセスを増やすための selinux ポリシーが必要です。2 つ目は、そのコンテキスト内で許可されていることに対して厳密な selinux ポリシーが必要です。2 つ目は、Web アプリケーションのセキュリティを強化し、Web アプリケーションのエクスプロイトが OS にアクセスすることすらできないようにするために、このようにする必要があります。
両方の httpd プロセスが異なるユーザーとして実行されています。
- 同じ httpd 実行可能ファイルに対して 2 つの異なるポリシー セットで selinux を使用できますか?
- httpd プロセス コンテキストを設定して、httpd の起動時に別のポリシー セットに切り替えるにはどうすればよいですか?
- httpd バイナリのコピーを作成し、すべての新しいポリシーを使用する selinux コンテキストを変更するだけの問題ですか (httpd バイナリのラベルを変更しますが、これ以上かかると確信しています)。
- 既存の httpd selinux 設定を新しい名前にコピーする手順は?
これは、httpdpublic と httpdprivate の selinux コンテキストが必要なことに帰着すると思います。以前にこのようなことをした人は、ガイダンスを提供したり、代替ソリューションを提案したりできますか? ありがとう