問題タブ [selinux]

PHP に別のサーバーへの curl 接続を実行させようとしています。サーバーに接続するには、プロキシを経由する必要があります。bash 内で、環境変数 http_proxy を設定しました。これは、コマンドラインから php スクリプトを使用しているときに正しく機能します。ただし、Apache から curl または wget を実行しようとすると、エラーなしで失敗します。サーバーは、Centos のデフォルトに基づいて SELinux で構成されています。SELinux の設定が不明なため、これは変更されていません。他の誰かに同様の問題がありましたか?

ユーザーが特定のMLS感度レベルでログインできるかどうかを決定するロジックを理解しようとしています。最初は、pam_selinux.soが/ etc / selinux /.../ seusersファイルを読み取って、どのユーザーがどのseuserにバインドされているかを理解し、MLS範囲の上位コンポーネント以下の感度にユーザーを制限しているのではないかと思いました。

ただし、ソースコードを調べた後、ユーザーにセキュリティコンテキストをデフォルトのコンテキストから変更するかどうかを尋ねた後、pam_selinuxは、カーネルポリシーを呼び出して、新しいMLSラベルが適切かどうかを確認します。

次のコードは、Ubuntulibpam-modules1.1.1-4ubuntu2パッケージのmodules/pam_selinux/pam_selinux.cにあります。

このチェックは、security_compute_av（）呼び出しで見られるように、カーネルポリシーで実際にチェックされているように見えます。これにより、SELinuxログインについての私の理解が頭に浮かびました。

だから、誰かが説明してもらえますか？

• ユーザーが選択したログインセキュリティレベルの有効性はどのように決定されますか？

• そのロジックは、ポリシー、pam_selinux、およびカーネルにどの程度正確に実装されていますか？

現在、私はタイプエンフォースメントマルチ、カテゴリセキュリティ、またはロールベースのアクセス制御にはあまり興味がないので、MLSの感度に影響を与えない場合、これらのコンポーネントがどのように検証されるかを説明する必要はありません。

私たちはこの人とほぼ同じ問題を抱えています：

php5を使用してapacheで実行した場合にOCI8関数が見つかりません

彼らの問題と私たちの問題の違いは、php.ini（/etc/php.ini）が1つしかないことです。CentOS5.5でApache2.2.3を使用してPHP5.3.5を実行しています。ご覧のとおり、彼らの質問には実際には答えられませんでしたが、皆さんが私たちの質問に役立つことを願っています。ありがとう！

C または C++ では、ファイルのファイル システム権限を変更する場合、標準ライブラリ関数 (chmod) を使用できます。これは、UNIX プロンプトから実行できるユーティリティに非常に似ています。

ファイルの selinux コンテキストを設定する同様に簡単な方法はありますか? その場合、どのライブラリにリンクする必要があり、どのヘッダー ファイルを含める必要がありますか? コマンド ライン ユーティリティ chcon と同じように簡単に使用できるものが理想的です。

気がついたのですが、この一行…

...次の指示に従って xdebug.so をコンパイルした後に表示または変更されました: http://www.xdebug.org/find-binary.php

Xdebug 拡張機能をもう実行していないので、元の状態に戻すにはどうすればよいでしょうか。

モードで SELinux がインストールされた RHEL 5.5 サーバーを使用していstrictます。システムはpermissive現在モードです。私は単純なシェル スクリプトを作成しようとしています。たとえばsetest.sh、bash ターミナルから明示的に実行したいと考えています。

permissive モードではそうすることができますが、監査ログに拒否されたと記録されます。

これは明らかに、SELinux を enforcing モードに切り替えると、bash コンソールからスクリプトを実行できなくなることを意味します。SELinux が適用されているときにこれが機能するようにするには、ポリシー モジュールにどの許可/ドメイン移行ルールを追加する必要がありますか?

よろしく、
ナゲンドラUM

phpMyAdminにアクセスしたいときは、常にこのメッセージが表示されます。

インストール手順：

エイリアスを追加する

クッキーからhttpに変更

再起動

SELinux-/ etc / httpd

SELinux-/ usr / share / phpmyadmin

OS

IPCセマフォを使用して対話（semget）するプログラムがたくさんあります。

プログラムの1つはApacheモジュールであり、これは（ある種の）制限されたSELinuxコンテキストで実行されます（私はあまりよく理解していません）。

もちろん、ファイルにSELinuxセキュリティコンテキストが適切に設定されている場合、モジュールは通常のファイルと正しく対話できます。

ただし、（モジュール）がIPCセマフォにアクセスしようとすると、semget呼び出しはEPERMで失敗します。SELinuxをオフにすると、このエラーは発生しません。

つまり、SELinuxセキュリティコンテキストのようなものを設定するために、またはこれを機能させるためにセマフォに何かを設定するために、明らかに私がしなければならないことがあります。通常のファイルであれば、「chcon」と呼ぶことができます。System-V IPCセマフォなので、それはできません。

これを機能させるために何ができますか？

xdebug サーバーは、ポート 9000 のどのクライアントにも接続しません。つまり、Netbeans IDE、debugclient などです。xdebug は phpinfo 出力に表示されます。上記のクライアントは、接続が確立されるのを待ち続けます。 cli から php スクリプトを実行すると、次の警告メッセージが表示されます。

「PHP 警告: モジュール 'xdebug' は、行 0 の不明に既にロードされています」 9000 ポートが開かれており、netstat --numeric-port -l コマンドに表示されます。何が問題なのかわかりません。すべての構成ファイルを確認しましたが、すべて問題ないようです。どんな助けでも大歓迎です。私の設定ファイルのセクション

php_api 番号 一致する

Xdebug Simple DBGp client (0.10.0) Copyright 2002-2007 by Derick Rethans. - libedit サポート: 有効

デバッグ サーバーの接続を待機しています。

黒魔術ですか！！

ありがとうございました

私は最近、plone.app.theming を RHEL ボックスで動作させるための作業を再開しました。提案されているように、buildout を使用して lxml ライブラリを構築していますが、それでも機能しません。

私が得ていたエラーは次のとおりです:再配置後にセグメントprotを復元できません:lxmlの卵ディレクトリ内のファイルに対するアクセス許可が拒否されました。これにより、インスタンスが起動しなくなりました。

いくつかの試行錯誤と調査の後、良い解決策ではありませんが、最終的に解決策を見つけましたが、 plone.app.theming が機能しました。問題はSELinuxが有効になっているようです。テスト目的で、このボックスで SELinux を無効にし、インスタンスを再起動した後、すべてが機能しました。

私の質問はこれです。これを引き起こすために何か間違ったことをしている場合はどうなりますか? SELinux を完全にオフにする必要のない解決策はありますか? また、そのためのビルドアウト ベースの解決策はありますか?