CentOS Part 47【RHEL Clone】 [無断転載禁止] [無断転載禁止]©2ch.net

[過去ﾛｸﾞ] CentOS Part 47【RHEL Clone】 [無断転載禁止] [無断転載禁止]©2ch.net (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

963: 2017/12/29(金)21:57 ID:bSsj9bpQ(1) AAS
SELinuxって、テストが難しいのだよね

自分らが動かしているプロセスが、どのような操作をどこに対して行うかを
見極めなけりゃ設定できないが、それは結局Permissiveのログみて一つ一つ
エラーを潰していくという作業にしかならないし、本番系で発生する挙動のすべて、
たとえばあらゆるエラーログやコアダンプ出力等までテスト環境で網羅させられるのか、
それをSELinuxに反映できるかっつーと、できない

自分らが作ったアプリならまだしも、CentOS同梱パッケージなんて
ひとつひとつ見ていくことなんてできやしないうえに、同梱パッケージだって
SELinux下で使うためにはあちこちコンテキスト弄らなけりゃならないからね

素晴らしい理想のもとに作られてるのだろうが、それが使いづらけりゃ価値ねえよ

964: 2017/12/29(金)22:27 ID:cOePM1W/(2/5) AAS
selinux使ってるのかな。同梱パッケージってcentosリポジトリにあるパッケージだよね。
同梱パッケージをデフォルトの設定で使う限りselinuxいじらないと動かないのって今まで出会った事ないけど。
具体的に、どのパッケージでどういう設定を入れる必要があった？

965: 2017/12/29(金)23:03 ID:nUPj//+9(1/2) AAS
設定ファイルやログファイルの位置によっては
コンテキストがシステムの想定しているものと違うものになって
Denyになったりするけど，
その場合はallowルールを追加するんじゃなくて
ファイルのコンテキストの方を変更しなきゃ意味がないし
見極めが難しい

今年の3月に稼働させたシステムまだPermissiveのままだわ

966: 2017/12/29(金)23:08 ID:cOePM1W/(3/5) AAS
具体的にどのパッケージのどのファイル？

967(1): 2017/12/29(金)23:16 ID:nUPj//+9(2/2) AAS
例えばbindのログファイルを/var/log/bind/
以下に吐き出すようにしたら起動しなかったわ

この場所だとディフォルトのコンテキストは var_log_t
bindが書き込めるのは named_log_t なので
ログファイルを /var/log/named.* にするか，
semanage で /var/log/bind/ の標準コンテキストを
変えてやる必要があった

968: 2017/12/29(金)23:17 ID:cOePM1W/(4/5) AAS
> 設定ファイルやログファイルの位置によっては

設定ファイルやログファイルの位置をデフォルトから変更した場合の話かな。
それならdenyになって当然だし、変更に合わせて設定を追加する必要あり。

969(1): 2017/12/29(金)23:20 ID:cOePM1W/(5/5) AAS
>>967
あぁなる。でも、それ自分で変更してるわけだから、追加しなきゃなってわかるよね？

970: 2017/12/30(土)01:09 ID:UEHE/dE2(1) AAS
SELinux使いこなせない自慢はうざい

971(1): 2017/12/30(土)09:36 ID:6IN8jBpr(1) AAS
>>957
>誰も困らない。
本当に誰も困りませんか？

972(1): 2017/12/30(土)11:09 ID:aDNUE9L3(1) AAS
>>969
デフォルトの設定が使いやすく汎用的なもの揃ってるならその理屈でもいいだろうけど
logファイルなんて設定変えるのが当たり前の世界なんだから
使いにくいものであることに変わりはないんじゃないかね
ラベリング問題はApacheとかでもよく起きて相談される話なんだし

973: 2017/12/30(土)12:46 ID:DitlnKlI(1/2) AAS
>>971
うん、大丈夫心配しないで。

974: 2017/12/30(土)13:00 ID:DitlnKlI(2/2) AAS
>>972
> 使いにくいものであることに変わりはない

もうその結論でおけ。

975: 2018/01/03(水)09:36 ID:U9VieSS7(1) AAS
あけましてリブート。
本年も無停止でお願いします。

976(2): 2018/01/03(水)23:42 ID:kDU2dUYl(1) AAS
Centosじゃないけど今夏にDBサーバ50台の移行がある。
何事もありませんように。

977: 2018/01/04(木)00:56 ID:rudHLmYg(1) AAS
無いわけないでしょ
御愁傷様

978: 2018/01/04(木)04:06 ID:4mNPggMa(1) AAS
>>976
RDSかな

979: 2018/01/04(木)09:09 ID:pOOukgYT(1) AAS
>>976
RHELのを200クラスタ移行したことある

サーバの差異には細かいことにでも気を付けろ
あと、指定したサーバ群に対し同一コマンド発行するための土台をAnsibleで作ったよ

980: 2018/01/04(木)09:53 ID:yGRINDBT(1) AAS
何かあったら中止して、元に戻せるようにする事。

981: 2018/01/04(木)09:59 ID:IRxLUSqf(1) AAS
そんなことよりMeltdownとSpectreの対応振ってきそうで憂鬱だ

982: 2018/01/04(木)20:31 ID:CE8HSxVu(1) AAS
まだパッチ来てないよね

上下前次 1-新書関写板覧索設栞歴

あと 20 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.023s