問題タブ [selinux]

ここにいる人々が、デフォルトでオンになっているインストールでSELinuxを通常無効にするかどうかを知りたいですか？もしそうなら、その理由、それがどのようなシステムであったかなどを説明できますか？

できるだけ多くのご意見を伺いたいと思います。

stdin、stdout、および stderr (それ以上でもそれ以下でもない) にのみアクセスできる Linux プロセスを生成できるようにしたいと考えています。プロセスレベル自体でこれを行うことはできますか? また、生成されたプロセスがストリームの反対側が指す「もの」を変更できるようにしたくないことを暗黙のうちに述べています（矛盾した表現）。

比喩的に：

• プロセスにはどこかから来る入力パイプがあり、パイプがどこから始まるかを変更できないため、入力がどこから来るかを制御できません。
• プロセスには出力パイプとエラーパイプがあり、出力パイプのもう一方の端が指す場所を変更できないため、出力先を制御できません。
• 新しいパイプを作成することはできません。

私は現在SElinuxも検討しています。これにより、これら 3 つのストリームにのみアクセスできるプロセスを作成できますか? ありがとうございました。

Linux サーバーを維持する上で、どのようなセキュリティのベスト プラクティスを強くお勧めしますか?
(つまり、ファイアウォールを立ち上げる、不要なサービスを無効にする、suid 実行可能ファイルに注意する、など。)

また: Selinux に関する決定的なリファレンスはありますか?

編集: はい、少なくとも openvpn、ssh、apache (現時点では動的コンテンツなし) を使用してマシンをインターネットに接続し、一部の人々にシェル アクセスを提供する予定です。

We have an SELinux client that authenticates network users using LDAP connecting to an Active Directory server. Since our machines have to operate "untethered," we have to use nscd to cache group and passwd info.

Here's the issue. If we change group information on the Active Directory server, then log in on the client, if a cache exists for that user, LDAP seems to ignore the server and only use the cached data. The only way we've been able to get an update is to invalidate the passwd cache.

Significant portion of /etc/nsswitch.conf:

Thanks.

Update: Figured out running strace getent passwd that nscd cache gets checked before /etc/nsswitch.conf gets read, so the configuration of nss doesn't matter.

Update 2: Playing with nss_updatedb today to see if it will work. So far no joy, although this howto looks like exactly what we need to do.

毎日実行したい Rails スクリプトがあります。多くのアプローチがあり、クローン化されたアプローチが一部の人に嫌われていることは知っていますがscript/runner、それは私のニーズを満たしているようです.

ただし、スクリプトがスケジュールどおりに実行されません。

私のアプリケーションは/data/myapp/currentにあり、スクリプトは にありscript/myscript.rbます。次のように、問題なく手動で実行できますroot。

これを行うと、特別なログ ファイル ( log/myscript.log) が期待どおりに記録されます。

cron毎朝午前 4 時に 実行するように設定しています。rootの crontab:

実際、今朝も実行しようとしたようです。

しかし、ログ ファイルにエントリがなく、更新すべきデータが更新されていません。ログ ファイルのアクセス許可 (テストとして) は、グローバルに書き込み可能に設定されていました。

CentOS 5で実行しています。

だから私の質問は...

1. これをデバッグするための情報は他にどこで探すことができますか?
2. これは SELinux の問題でしょうか? このエラーを解決するために設定または変更できるセキュリティ コンテキストはありますか?

ありがとうございました！

アップデート

ポールとルークの両方に感謝します。環境の問題であることが判明しstderr、ログ ファイルにキャプチャすることで、エラーを見つけることができました。

特定の Ruby 実行可能ファイルをコマンドに追加すると、うまくいきました。

シナリオ：

手で起動するのが面倒な複雑なソフトウェアがあります。私が行ったことは、実行可能ファイルを起動し、デバッグ用にgdbをアタッチするための Python スクリプトを作成することです。

プロセス起動スクリプト:

• 環境変数が設定されていることを確認します。
• ローカルのビルド ディレクトリが環境LD_LIBRARY_PATH変数に追加されるようにします。
• 現在の作業ディレクトリを実行可能ファイルが期待する場所に変更します（私の設計ではありません）
• 唯一のコマンドラインオプションである構成ファイルを使用して実行可能ファイルを起動します
• 実行可能ファイルからの出力を 2 番目のロギング プロセスにパイプします
• 実行可能ファイルの PID を記憶し、実行中の実行可能ファイルに gdb を起動してアタッチします。

スクリプトは機能しますが、1 つの注意点があります。ctrl-c はデバッグ対象を中断せず、制御を gdb に戻します。したがって、アクティブなブレークポイントなしで「続行」すると、プロセスを再び停止することはできず、別のシェルから強制終了/中断する必要があります。ところで、「kill -s SIGINT <pid>」を実行すると、<pid> はデバッグ対象の pid に戻りますが、gdb のプロンプトに戻ります...しかし、このようにしなければならないのは本当に面倒です

最初は、Python が SIGINT シグナルを取得していると思っていましたが、シグナル ハンドラーをセットアップしてシグナルをデバッグ対象に転送しても問題が解決しないため、そうではないようです。

私はpythonスクリプトにさまざまな構成を試しました（サブプロセスの代わりにos.spawn *を呼び出すなど）。pythonが子プロセスを起動した場合、SIGINT（ctrl-c）シグナルはしないようですgdb または子プロセスにルーティングされます。

現在の考え方

• これは、debugee と gdb に別のプロセス グループ ID が必要なことに関連している可能性があります...これに対する信憑性はありますか?
• SELinux のバグの可能性はありますか?

情報：

• gdb 6.8
• Python 2.5.2 (Python 2.6.1 にも存在する問題)
• SELinux 環境 (プロセスにシグナルを配信するバグ?)

私が検討した代替案：

• .gdbinit ファイルを設定して、スクリプトが行うことと同じように行うこと、環境変数、および現在の作業ディレクトリがこのアプローチの問題です。
• 実行可能ファイルを起動し、gdb を手動でアタッチする (yuck)

質問: 大規模プロジェクトの起動/デバッグをどのように自動化しますか?

更新: 以下の Nicholas Riley の例を試してみました。自宅の Macintosh では、すべて cntl-c がさまざまな程度で機能しますが、製品の boxen (SELinux を実行していると思われる) では動作しません...

SELinux で Java アプリケーションを処理するためのベスト プラクティスはありますか? Java アプリごとに SELinux を構成できますか、それともフィナーレ システム コールを行うため、VM のみを処理できますか?

何らかの理由で、SELinuxを有効にしてFedora11でFirefox3.5.xを実行すると、アプレットを動的に埋め込もうとするとブラウザーがクラッシュします。Windows、Ubuntu、およびMacでは、ユーザーは署名者を信頼してから実行中のJavaアプレットを信頼するように求められますが、Fedoraではこのプロンプトは表示されません。SELinuxを無効にすると、プロンプトが表示されず、アプレットは通知なしに埋め込まれます。

信頼できるアプレットがユーザープログラムを実行し、ユーザーデータを操作できることを思い出すと、これは非常に悪夢になります。以前にSELinuxとFedora/SuSE / Linuxおよび信頼できるアプレットを扱う必要があった人はいますか？もしそうなら、どのようにしてこの壊れた行動を克服しましたか？

ここで何が間違っていますか？

.ini ファイルに error_log を .ini ファイルと共に設定していますerror_reporting = E_ALL | E_STRICT。

他に何が欠けていますか？これは通常私にそれを与えました。これをスクリプトではなく、.ini ファイルに設定したいのです。

発生しているもう 1 つの興味深いことは、スクリプトの 1 つで意図的にエラーをスローしようとすると、Apache が何度も再起動することです。

これは、1 つのエラーが発生した後のイベント ログです。タイムスタンプを見てください。

_{これは 1000 回尋ねられており、これを投稿する前にさまざまな投稿を閲覧しましたが、答えが見つかりませんでした. 私が PHP でプログラミングをしている限り、これは常に悪夢でした。}

こんにちは、

libxml2 に問題があります。

標準ランタイム環境の一部である Perl モジュール XML-LibXML を構築しようとしました。ただし、ビルド プロセスで libxml2 が見つからないというエラーが表示されたため、今回は RHEL5 ボックスへのインストールに失敗しました。

ただし、ファイルは使用可能でした。でビルドを開始する

実際の問題のより多くの証拠につながりました：

いくつかの調査の後、問題libxml2.soはテキストの再配置で作成されたように見えることがわかりました。

ターゲット マシンで SElinux がアクティブになっているため、libxml.2 へのリンクに失敗しました。

適切に作成する可能性はありますかlibxml2、または管理者に SElinux をひねって再配置を許可するよう依頼する必要がありますか?

SElinuxがアクティブなLinuxでこの問題を抱えているのは、私が古い人だとは本当に信じられません。私は何が欠けていますか？

どんな助けでも感謝します！

よろしく、ステファン