問題タブ [selinux]

私はphpでアプリケーションを開発しました。その機能の 1 つは、外部サーバーに ping を実行することです。ただし、このアクションが起動されたとき、何も起こりませんでした。SELinux ログを確認し、Apache デーモンが ping を実行できるようにするポリシーを生成しました (Apache ユーザーとしてログインすると、ping は正常に機能します)。そのポリシーをインストールした後、SELinux ログにはエラーは表示されませんが、httpd ログには何度も表示されます。

SELinux の設定に問題があることはわかっています (おそらくソケット接続でしょうか?) 無効にすると問題なく動作しますが、これは私にとっては選択肢ではありません。

ping コマンドの出力をテキスト ファイルにリダイレクトしました。アクションを実行した後の結果は次のとおりです。

だから私はこの時点で立ち往生しています。誰でも私を助けることができますか？

どうもありがとう。

作業中のプログラムにいくつかの変更を加え、JavaをJava6からJava7に更新しました。

CentOS5.832ビットVMでプログラムを実行しています。

Javaアップデートの前は、正常に機能していました。

現在、プロセスはエラーで開始されていません。

私はオンラインで確認しましたが、これに対する解決策/回避策は次のコマンドを実行することです。

そしてそれはうまくいくでしょう。

コマンドのドキュメントを読んで、setenforceそれが何をするのか、そしてそれがどのように問題を解決したのか理解できませんでした。

だから私の質問は：

1. プロセスを開始できないエラーの原因は何ですか？
2. setenforceコマンドがそれを解決するのはなぜですか？
3. 一般的に何をするのか簡単に説明してくださいsetenforce。

私は現在、ブラウザブラウザがWebページを参照するときに実行されているphpスクリプトを持っています。私がやろうとしているのは、スクリプトの実行時に変数を格納するテキストファイルを作成することです。フォルダの所有者はapacheですが、厳密にはテスト目的で、全員が読み取り/書き込みを行っています。（パーミッションの問題かもしれないと思いました）サーバーでSELINUXが有効になっていて、コンソールからスクリプトを実行すると、適切なディレクトリにテキストファイルが作成されます。

この行を使用してテキストファイルを作成および作成しようとしています。ファイルの場所が機能することはわかっています。これは、ファイルを実行してオフラインモードで作成でき、IEがコンソールから実行できるためです。問題は、書き込もうとしている変数がHTTP Postを介して入力され、ブラウザーを介してスクリプトを実行するとき、またはapacheがスクリプトを実行するときに、ファイルを書き込んだり作成したりしないことです。このスクリプトにこのテキストファイルを書き込むために、構文の書き込み/変更へのアクセスを許可するには、何をする必要がありますか？

Linux を実行しているデバイスがあり、これで信頼できないアプリケーションを実行する必要があります。私たちは、次のセキュリティ上の懸念を軽減しようとしています -

1. 信頼されていないアプリケーションがコア OS データとバイナリに悪影響を与えることはできません。
2. 信頼されていないアプリケーションが、別のアプリケーションのデータとバイナリに悪影響を与えることができないようにする必要があります
3. 信頼できないアプリケーションは、CPU、メモリ、またはディスクを過剰に消費して、コア OS または他のアプリケーションに DoS/リソース不足のような状況を引き起こすことができないようにする必要があります。

信頼されていないアプリケーションの観点からは、独自のディレクトリと、おそらくマウントされた USB ドライブに対して読み書きできる必要があるだけです。

次のいずれかのアプローチを使用することを考えています -

アプローチ 1 - SELinux をサンドボックスとして使用する

• これは可能ですか？SELinux を少し読んだことがありますが、ポリシー ファイルの設定や実行時の強制など、少し複雑に見えます。クォータ制限を設定しますか?

アプローチ 2 - 自分で新しいサンドボックスを作成する

• インストール時間中

  • 信頼されていないアプリケーションごとに新しいアプリ ユーザーを作成する
  • アプリケーション ユーザーのみが読み書きできるように、アプリケーション ディレクトリとファイル全体にアクセス許可をスタンプします。
  • ulimit/quota を使用してアプリケーション ユーザーのクォータを設定する

• 実行時に、次を使用して信頼できないアプリケーションを起動します

  • 開いているすべてのファイル記述子/ハンドルを閉じます
  • chroot を使用して、ルートをアプリケーション ディレクトリに設定します。
  • アプリケーション ユーザーのコンテキストでアプリケーションを起動する

上記についての考え？どちらのアプローチが他のアプローチよりも安全ですか? よりうまくいくかもしれない別のアプローチはありますか？何らかの理由で Android を移動する選択肢がないため、Android がネイティブで提供するサンドボックス機能を使用できません...

お知らせ下さい

ありがとう、

Windows サーバーから Linux マシンにファイルをダウンロードする必要がある Linux サーバー上の PHP でサイトを開発しています。SeLinux のいくつかの変更またはそのいくつかのプロパティ (setsebool -P httpd_disable_trans=1) を設定することでそれを行うことができます。しかし、クライアントはこの機能のセキュリティを侵害することを拒否しているため、他の回避策を見つける必要があります。誰でも助けることができますか？

前もって感謝します。

Selinuxを勉強しようとしています。サンドボックスと VSFTPD を使用して実験することで、Centos で vsfptd サーバーを実行しています。/var/ftp/incoming にファイルを配置する匿名ユーザーがいます。リモート マシンでは、ユーザーを正常にログインさせることができますが、vsftpd サーバーの削除にファイルを配置できませんでした。

VSFTPD サーバーで aureport -a report を実行すると、次のように表示されます。

ディレクトリを確認したところ、ファイル コンテキストは問題ないように見えたので、Selinux が受信ディレクトリへの vsftpd の書き込みを許可しない理由がわかりません。