[過去ログ] AlmaLinux Part 1【RHEL Clone】 (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
663(1): 2023/01/03(火)18:52 ID:tWOQRRFd(1/2) AAS
Minimalで入れてもsshとselinuxは標準で有効になってるね
664(1): 2023/01/03(火)18:53 ID:2Op2i3HY(2/3) AAS
>>663
8は使っていて、9はまだ入れてないけどselinuxはdisableやpermissiveできないの?
665(1): 2023/01/03(火)19:28 ID:tWOQRRFd(2/2) AAS
>>664
設定ファイルはかわらないから無効化出来るよ
666(1): 2023/01/03(火)19:58 ID:2Op2i3HY(3/3) AAS
>>665
ググったら普通にできるみたいなのな
個人ブログより公式見ろってのが1000回ぐらい言われていたのにまたも守れない俺orz
667: 2023/01/04(水)00:32 ID:xENo45fY(1) AAS
>>666
MDNとか気取った翻訳の仕方とかたまに思い切り原文とズレてたりするから見たくないけどサーバーサイドは公式見やすいと思うよ
668: 2023/01/04(水)11:59 ID:xX40yDLp(1) AAS
>> 664
Red Hat 的には無効にするぐらいなら SELINUX=permissive にしろとのこと。
一応 Red Hat 自体が SELinux 無効化の手順を公開しているので無効化するなとも言っていない。
外部リンク:access.redhat.com
んで permissive で運用している人いる?
ディスクが audit.log で溢れるんじゃないかと怖くて設定できないんだ。
669: 2023/01/04(水)21:39 ID:LX1LTIrG(1) AAS
ログあふれが怖いなら
ローテーションすればいいだけのような
自分はpermissiveは、audit2allowでルールを追加するためには使うけど
そのままそれで運用ってのはやらないかも
670: 2023/01/05(木)00:19 ID:rxoAkpEd(1/3) AAS
audit.logはログを吐き出すauditd自体にローテート機構があり自動でローテートされる
というかEnforcingであってもログは吐き出されるのでローテートがなかったら手動で消さない限りいつかはディスクが埋まるし、
ディスクを埋めてサービスを阻害する攻撃ができちゃうのでそんな間抜けな仕組みにはなっていない流石に
671: 2023/01/05(木)00:26 ID:rxoAkpEd(2/3) AAS
とはいえ、Redhatは何か言っているようだが、本当にSELinuxを使うつもりがないならDisabledにしてよいと思うけどね。Permissiveじゃなくて。
Fedoraの上流で、
「インスコしたら即SELinuxを無効にしているやつらがいるのはけしからん!次からは簡単に無効にできないようにする!」とか言ってたのは結局ナシになったんかな。
672: 2023/01/05(木)09:41 ID:qWRcg/SP(1/3) AAS
RHEL 使ってる連中はEコマースやデータベース、はたまた分子生物学や
流体力学はわかるけどSELinuxはわからんって連中ばかりだからなあ。
強制したら強制したで「SELinuxを無効にしたら電気代が年間いくら安くなる。
二酸化炭素排出がうんたら。SELinuxはSDGsにそぐわない/エコじゃない!」
って騒ぎだすんじゃね?
「セキュリティホールがみつかりましたが SELinux が Enforce のシステムは
このパッチ充てる必要ありません。」なんて見たことない。
有効な機能だとは思えないのでいい加減やめてほしいわ。
673: 2023/01/05(木)14:59 ID:6Ccsfxnl(1) AAS
どれっていう具体例を出せずに申し訳ないけどアドバイザリの深刻度がSElinuxの理由で下げられることはあるよ
セキュリティ上意味はあるしちゃんと仕事はしてる
将来発生しうる可能性のある未知の脆弱性を低減できる可能性(これまでも効果はあった)もある
これがあれば絶対に安全とは全く言えないし少し面倒もあるけどだからといって無くていいと考えるのはかなり勇み足に聞こえる
674: 2023/01/05(木)15:43 ID:KgoVY74F(1/3) AAS
安全性を高める仕組みとしては素晴らしいものなのだろうが、
分かりやすく使いやすい仕組みではないわな
公式パッケージでもコンテキストに漏れとか抜けがあって、
ログが出ない、みたいなこともあるしな
「Qiitaにそう書いてあったからdisabledにするのが普通」というのはダメだと思うが
やってる事は同じだわと思いながら、disabledにしてるわ
675: 2023/01/05(木)19:24 ID:qWRcg/SP(2/3) AAS
10年以上 Red Hat 以外の開発者からガン無視されたわけだしもう撤退すべきだと思う。
docker/podman で chroot 環境がお手軽になってる今ならメンツも潰さずに移行できるでしょ。
676: 2023/01/05(木)19:37 ID:rxoAkpEd(3/3) AAS
SELinuxとか全然スレ違いなのだが話すこともないので・・・
そもそもSELinuxは機能過剰なのではないかと・・・普通にパスベースのTOMOYO Linuxとかのほうがきっと楽、でも使ったこと無い。
機能自体は過剰なくせに、ポリシーを作成するためにはツールをゴテゴテ導入しなければならなかったりなど・・・
SELinuxはもちろん設定すると、SSHはもちろんコンソールログインにおいてすら操作を制限できるっていうけど、
そんなちゃんと(targetedでなくstrictポリシーで)設定してるところがどれだけあるのか。
企業や軍隊等ではちゃんとやってるんかな?
あと日本語の文書が少なすぎるというのもある。スクラッチでポリシーを書くのには苦労した。
いや、いろいろ文句はあるが、ワイは運用段階にあるマシンにおいては、targetedだけどちゃんとポリシーを設定してEnforcingで運用してる。
苦労したけど、苦労した末になんとかポリシーを書いてmakeして組み込んで、運用中のマシンではEnforcingにしてます。
677: 2023/01/05(木)20:20 ID:k6bWcHqc(1) AAS
SElinuxは宗教的なものだから、CentOSスレもキチガイが発狂してたな
強制で無いならそこそこにしておかないとSELinux必要不要論はキチガイホイホイになるぞー
678: 2023/01/05(木)21:21 ID:KgoVY74F(2/3) AAS
CentOS8からAlma9へのマイグレーションって、できるかな
679: 2023/01/05(木)22:49 ID:PxWjzcAa(1) AAS
マジでSE LINUXそのものをちゃんと知らないから、何かバグの原因になりそうでビビってる
680(1): 2023/01/05(木)23:08 ID:qWRcg/SP(3/3) AAS
まじめにやると大変なの?
「setsebool でオプションon/off切替」
「semanage fcontext と restorecon でファイルのコンテキスト設定」
「audit.log を取りながら permissive モードにしてアプリ実行し
取ったログを audit2allow でモジュール化して最後に semodule でロード」
だけで運用できない?
681: 2023/01/05(木)23:47 ID:KgoVY74F(3/3) AAS
>>680
audit.logも、なにかの契機でアクセス違反が出れば、
そこに情報が残り、そこに対処が必要なのだと分かるのだが、
その違反となるような箇所が他にもうないかどうか、は
運用が終わってみるまでは分からない、というのが
悩ましいところ
682: 2023/01/06(金)00:08 ID:ntI69Xqg(1) AAS
SElinuxデフォルト有効はやめてもらいたい。
トラブルの元なんだから。
分かってて使いたい人だけが使えばいい。
上下前次1-新書関写板覧索設栞歴
あと 320 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.012s