我的apache DocumentRoot / var / www是另一个path的符号链接。 目标具有适当的文件上下文标签(httpd_sys_content_t),以便Apache可以在启用SELinux的情况下读取它。 但是,符号链接本身被标记为var_t。 [root@localhost var]# ls -lZ lrwxrwxrwx. root root unconfined_u:object_r:var_t:s0 www -> /srv/www 我需要用httpd_sys_content_t重新标记符号链接。 最初用-h选项运行chcon似乎工作: [root@localhost var]# chcon -h -t httpd_sys_content_t /var/www [root@localhost var]# ls -lZ lrwxrwxrwx. root root unconfined_u:object_r:httpd_sys_content_t:s0 www -> /srv/www 然而,这不能在重新贴上标签: [root@localhost var]# restorecon -Rv . restorecon reset /var/www context system_u:object_r:httpd_sys_content_t:s0->syst em_u:object_r:var_t:s0 使用semanage不会重新链接链接本身; 只是目标: [root@localhost var]# […]
任何人都可以给出一个SELinux保存安全培根的真实例子吗? (或者AppArmour如果你愿意的话)。 如果不是你自己的,指向一个有可信经验的人? 不是一个实验室testing,不是一个白皮书,不是一个最佳实践,不是一个CERT咨询,而是一个真实的例子,就像audit2why显示一个真正的黑客攻击的尝试已经停止了。 (如果你没有例子,请留下评论而不是答案。) 谢谢!
正如标题所说,我如何查看SELinux策略包的内容? 结果文件以.pp结尾。 我正在使用第6个分区,但是我想在“全部”发行版上也是这样。 例如 cp /usr/share/selinux/targeted/cobbler.pp.bz2 ~ bunzip2 cobbler.pp.bz2 MAGIC_SELINUX_CMD cobbler.pp
我想一次离开selinux在服务器上运行,据称增加了安全性。 我通常禁用selinux来获得任何工作。 我如何告诉selinux允许mysql连接? 我发现的最多的文档是从mysql.com这行: 如果您正在Linux下运行并且已启用安全增强型Linux(SELinux),请确保您已禁用SELinux进程的mysqld保护。 哇…这真的很有帮助。
试图SSH到远程计算机,但仍然要求密码。 我有一些运行SElinux的计算机,只有其中一个使用ssh而没有密码给了我一个很难的时间。 我做了一个ssh-copy-id,我可以在.ssh / authorized_keys中看到我的密钥。 我chmod 700 .ssh和chmod 600 ./ssh/*中的所有文件 如果我做一个ssh -v这是我的输出: OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to wcmisdlin05 [10.52.208.224] port 22. debug1: Connection established. debug1: identity file /home/jsmith/.ssh/identity type -1 debug1: identity file /home/jsmith/.ssh/id_rsa type 1 debug1: identity file /home/jsmith/.ssh/id_dsa type […]
我不知道SELinux在哪里被使用,以及从攻击者那里可以节省多less。 我已经浏览了SELinux的网站,阅读了一些基本的内容,但是仍然没有得到关于SELinux的线索。 对于提供SSH shell的Linux系统,Apache前端,基于angular色的web应用,MySQL DB,memcached,几乎所有的系统都是密码保护的,那么为什么我们需要SELinux?
在configuration我有设置我希望允许桑巴和Apache访问/ var / www我能够设置一个上下文来允许桑巴访问,但然后httpd没有访问权限。 使用setenforce来消除问题,所以我知道它是SELinux。 另外:如何查看文件夹的上下文,以及文件夹是否可以有多个上下文? (CentOS的)
有人可以告诉我在哪里可以find在RedHat和SELinux SSHD日志….我想查看日志,看看谁login到我的帐户..
我的系统使用apache2.2.15运行CentOS 6.4。 SElinux正在执行,我试图通过我的python / wsgi应用程序连接到redis的本地实例。 我得到错误13,权限被拒绝。 我可以通过命令解决这个问题: setsebool -P httpd_can_network_connect 但是,我不完全想要httpd能够连接到所有的TCP端口。 我如何指定允许哪些端口/networking连接到httpd? 如果我可以让一个模块允许httpd连接到端口6379(redis)或127.0.0.1上的任何TCP,那将是更可取的。 不知道为什么我的偏执狂是如此强大,但嘿… 有人知道吗?
在StackOverflow的这个问题的行中,以及我们在这里完全不同的人群,我想知道:你禁止SELinux的原因是什么(假设大多数人仍然这样做)? 你想保持启用? 你离开SELinux出现了什么exception? 除了Oracle之外,还有哪些供应商支持启用SELinux的系统? 奖金问题:任何人都设法使用SELinux在RHEL5上运行Oracle来强制执行目标模式? 我的意思是,严格会很棒,但是我不会那么远,所以让我们留在目标首先;-)