[jsosug:00022] Re: permissive domain

Back to archive index

KaiGai Kohei kaiga****@kaiga*****
2008年 10月 8日 (水) 00:00:29 JST


海外です。

遅レスで申し訳ないです。
permissive domain の設定方法ですが、semanageコマンドを利用する事ができます。

↓こんな感じで
# semanage permissive -a smbd_t
                         ^^^^^^ Sambaの人
-a (add) で permissive domain に追加、-d (delete) で逆に permissive domain から
削除という形になります。
(ちなみに Fedora9 以降で使えます。Fedora8 以前不可。)


昔の RedHatEL(といってもRHEL4ですが、、、)では、booleanを使って特定のサービスが
confinedなドメインに行かないように設定する事ができましたが、どうしても SELinux 起因の
トラブルを解決できない時には、permissive domain で逃げるという手も使えそうです。

ただ、基本的にはポリシー開発者のための道具と考えた方が良さそうです。
無闇に permissive domain の設定を行って、戻し忘れたらと考えると・・・。


Shintaro Fujiwara wrote:
>  こんにちは、藤原と申します。
> 
> SELinuxが大逆転しそうです。
> 
> permissive domain というのが有効になるそうです。
> 
> 今まで、ポリシを作成する際、SELinux自体をpermissiveにしてログを収集する 
> というのを繰り返すしかなかったんですが、あるドメインだけをpermissiveにす 
> ることによって、正確なポリシを作れそうです。
> 
> これは、いいです。
> 
> SELinuxのいいところは、管理者の声をよく聞いてくれているところです。
> 
> かゆいところに手が届いてきましたね。
> 
> セキュリティのためのセキュリティでは誰にも見向きされませんからね。
> 
> こういう "有益な" 情報をもっと期待しています。
> 
> SELinuxの設定は結構簡単だと思っていますからね。
> 
> 
> 
> 
> -- 
> http://intrajp.no-ip.com/ Home Page
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Japan secure operating system users group
> users****@secur*****
> http://lists.sourceforge.jp/mailman/listinfo/jsosug-users


-- 
KaiGai Kohei <kaiga****@kaiga*****>




Jsosug-users メーリングリストの案内
Back to archive index