我需要不受信任的用户在Fedora 17机器上通过SSH执行Ruby和Python脚本,这对系统完整性和安全性影响最小。 一个SSH封装将确保只有Ruby和Python可执行文件将被运行(直接)。 用户的主目录(以及/ tmp)不可执行(Ruby和Python从/ usr运行)。 需要禁止用户创build套接字。 以及如何最大限度地减less恶人造成的损害的任何build议。 谢谢。
每当我尝试启动puppetmasterd服务时,我都遇到了一个问题,为此我收到以下错误消息: root@service1 ~ # -> /etc/init.d/puppetmaster start Starting puppetmaster: Could not prepare for execution: Got 1 failure(s) while initializing: change from absent to directory failed: Could not set 'directory on ensure: Permission denied – /etc/puppet/ssl [FAILED] 显然,这个bug报告中概述了这个场景的一个已知问题,但是在bug报告中它指出了selinux-policy-3.9.16-29.fc15已经解决了这个问题,但是最新的CentOS默认上游版本是3.7.19-155.el6_3.4 。 所以我试图找出最好的解决scheme。 我可以创build一个本地安全策略来允许puppetmasterd访问它所需要的,或者继续研究并在默认上行信道之外安装更新版本的selinux-policy。 任何人有任何build议? 请不要build议禁用SELinux … —–更新—– 这里是puppet.conf: [main] # The Puppet log directory. # The default value […]
这是我的情况:我想要做的是在/ var / www下的“git clone”项目。 但是,因为我login到我的服务器作为idcuser selinux(我想:D)不允许我这样做。 我如何“授予”我的用户的权限写在/ var / www下,同时,让Apache继续读/写“克隆”的文件。 非常感谢!
我有一个红帽企业Linux 6(含SELinux),它显示了通过局域网共享文件的下载和上传速度(后者显着较慢)之间的显着差异。 瓶颈似乎是linux机器的输出,因为我的速度在1Mb / s左右 当WinXP机器下载RHEL机器共享的文件(使用samba) 将文件从RHEL上传到WinXP的共享文件夹 而 从XP机器上传到linux的份额 在RHEL上下载XP的份额 只有Windows机器之间的任何共享 运行平稳(约50Mb / s)。 由于从RHEL上传到WinXP共享的速度也会变慢,所以我排除了sambaconfiguration中的一个问题。 什么可能确定上传速度的这个限制? 更新 :iptables不显示任何输出规则,禁用它不显示任何明显的差异,所以我也会排除它。
SELinux阻止cron在电子邮件中附加日志文件,并出现以下错误: 注意内核[7148.923034] type = 1400 audit(1359466501.857:5):avc:denied {read} for pid = 3182 comm =“mailx”name =“attachment”dev =“dm-1”ino = 4140 scontext = system_u:system_r :system_mail_t:s0-s0:c0.c1023 tcontext = system_u:object_r:var_log_t:s0 tclass = file 一个bash脚本由cron每小时运行一次,如果它不是空的,就会通过电子邮件发送一个日志文件。 该脚本包含以下行: echo "" | mailx -s "Critical Message" -a /var/log/attachment [email protected] 我认为这个问题与文件安全上下文有关。 我在某个地方读到,设置公共内容的上下文可能会有所帮助,但不知道这是一个好主意还是有更好的方法。
我试图build立一个SSH硬盘的gentoo资源openssh(与openssh-lpk,这是我认为的gentoo上的LDAP标志)和启用selinux的服务器。 在Ldap服务器上,我添加了一个带有公钥的用户“ldapuser”。 当selinux完全禁用时,login工作完美无缺。 的/ etc / selinux的/configuration SELINUX=disabled 但是,当我设置selinux是在宽容或强制模式下发生在客户端上: ssh -v ldapuser@server debug1: Entering interactive session. Write failed: Broken pipe 我看到公钥被接受了。 在服务器上,我发现的唯一有趣的日志条目是: server sshd[]: error: ssh_selinux_getctxbyname: Failed to get default SELinux security context for ldapuser 这是有道理的,因为这个用户在LDAP服务器上(但是pam_ldap和nsswitch.confconfiguration正确,使用ldap服务器)。 我发现这个错误的所有报告,例如https://bugzilla.mindrot.org/show_bug.cgi?id=1325 ,似乎都是封闭的或者与我的问题没有关系。 我正在使用Openssh 5.9_p1-r4,绑定器,hpn,ldap,pam,selinux和tcpd使用标志 Linux server 3.7.4-hardened-r1 #2 SMP Fri Feb 8 13:26:25 CET 2013 x86_64 AMD A4-3300 APU […]
我在Python中创build了一个CGI,除非我尝试写入用户家中的文件,否则它将起作用。 我激活了allow_httpd_anon_write和allow_http_sys_script_anon_write为graphics工具来pipe理SELinux。 然后,我home , home/user和home/user /home/user/log_file.txt public_content_rw_t 。 据我所知,这是足够的,还有什么我必须做的? 写另一个职位更简单吗?
我已经将我的/ var / lib / mysql目录移动到一个nfs共享中,更新了所有的configuration文件并在适当的地方创build了符号链接。 这在我closuresselinux的情况下工作,但是当selinux打开时mysqld无法启动。 我已经search了一个解决scheme,但还没有find任何工作。 我怀疑我缺less一些简单的东西。 这是我试过的: yum install policycoreutils-python semanage fcontext -a -t mysqld_db_t "/nfs/data0/mysql(/.*)?" restorecon -Rv /nfs/data0/mysql 我怀疑我可能会在这里使用错误的背景,但不知道什么是正确的。 有什么build议么? 更新: 根据build议查看/var/log/audit/audit.log后,我看到以下错误: type=AVC msg=audit(1398346018.436:3455): avc: denied { write } for pid=10980 comm="httpd" name="mysql.sock" dev=0:13 ino=18438 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:nfs_t:s0 tclass=sock_file type=AVC msg=audit(1398346018.439:3456): avc: denied { search } for pid=12395 comm="mysqld" name="mysql" dev=0:13 ino=14805 […]
我遇到一个由ZAbbix支持的文件,使用/var/log/snmptt/snmptt.log文件处理所有的SNMP陷阱数据。 ZAbbix_proxy.log 23323:20140430:105246.532 sleeping for 5 seconds 23329:20140430:105247.070 cannot open [/var/log/snmptt/snmptt.log]: [13] Permission denied 23329:20140430:105247.070 sleeping for 1 seconds 23329:20140430:105248.070 cannot open [/var/log/snmptt/snmptt.log]: [13] Permission denied 23329:20140430:105248.071 sleeping for 1 seconds 23329:20140430:105249.071 cannot open [/var/log/snmptt/snmptt.log]: [13] Permission denied 23329:20140430:105249.071 sleeping for 1 seconds SE Linux审计日志。 time->Wed Apr 30 09:58:11 2014 type=SYSCALL msg=audit(1398869891.560:41198): arch=c000003e syscall=2 success=no […]
我们有一个环境,我们的用户ssh进入系统,他们的shell被设置为在$ HOME / Maildir上启动Mutt。 我们想限制我们的用户只能发送/接收邮件。 我们意识到他们不能任意命令,因为他们没有shell提示符,但是一些用户可能是不信任的,并且可能find某种方式来突破Mutt并通过代码执行获得shell访问权限。 我们基本上正在考虑最坏的情况。 我们知道SELinux和guest_u帐户,但我们遇到了一个更好的解决scheme。 由于我们的用户都是一个组的一部分,所以说“用户”,我们可以使用下面的iptables规则来禁用出站数据包。 ping,挖,wget等不起作用,但邮件出站做。 这正是我们想要的,但是为什么用户通过Mutt阻止使用其他工具(如dig,host,ping等)来允许任何出站访问? 这是我们添加的规则: $IPT -A OUTPUT -p all -m owner –gid-owner users -j DROP