SELinux용 태그 파일을 사용하여 squashfs 이미지를 만들려고 합니다. docker buildx를 사용하여 빌드하고 있습니다. 내가 시도한 두 가지 아이디어는 실패했습니다. setfattr또한 chcon컨테이너의 파일 시스템 내의 파일을 표시하는 SELinux 시행 호스트에는 적용되지 않습니다. 잘못된 매개변수만 반환됩니다. 이 작업을 수행하면 레이블을 설정할 수 있습니다. 해당 옵션을 사용하여 xattrs를 설정할 때 mksquashfs파일 배치에 대해 하나의 태그만 설정할 수 있습니다....
RHEL-8.9를 실행할 때 selinux= enforcingselinux에서는 사용자 정의가 필요하지 않습니다 . 이는 rhel-8.9-x86_64-dvd.iso를 통한 새로 설치를 위한 기본 설정입니다. 나는 문제가 다음과 같이 발생한다고 생각합니다. semanage login -a -s user_u <username> 그리고semanage login -m -S targeted -s "user_u" -r s0 __default__ 우리는 [기타] 문제를 발견하여 다음과 같은 Red...
Rocky 8.9 서버에 nginx를 설정하고 80 및 443 이외의 포트에서 수신하려고 하면 SELinux 문제가 발생합니다. 인터넷에서 권장되는 솔루션은 모두 semanage를 권장하는 것 같습니다. semanage는policycoreutils-python-utils로 패키지되어 있으며 이 서버에는 존재하지 않습니다. 이제 패키지를 설치할 수 있으므로 특별한 문제는 아니지만 SELinux 자체에는 제약 조건을 관리하는 고유한 방법이 없는 것 같아 놀랐습니다. 나는 다양한 방법으로 커널을 직접(예:...
내 호스트는 Fedora이고 호스트에서 코드 실행을 허용하는 0day KVM/QEMU 취약점에 대한 추가 보호 계층을 추가하고 싶습니다. 예를 들어, 일부 CVE에서는 특별히 제작된 악성 Windows 실행 파일을 Windows 가상 머신에서 관리자 권한으로 실행하면 호스트 머신에서 코드가 실행됩니다. 가끔씩 악성코드를 분석하고 알려지지 않은 악성코드를 실행해야 하기 때문에 할 수 있는 게 별로 없고, 별도의 컴퓨터를 구입하고 싶지도 않습니다. 내 질문은 SELinux를 사용하여 이러한 유형의 공격으...
원본 파일 컨텍스트는 /run/unicorn.socktcontext=system_u:object_r:var_run_t:s0 입니다. 파일 컨텍스트를 자동으로 system_u:object_r로 만드는 방법:httpd_var_run_t:s0 nginx 서버가 SELinux에 의해 거부되지 않고 소켓 파일에 연결하고 쓸 수 있도록 소켓 장치를 시작할 때. 이것은 내가 만든 소켓 데몬입니다./usr/lib/systemd/system/unicorn.socket [Unit] Description=unicorn ...
%20%ED%8C%8C%EC%9D%BC%EC%97%90%20%EA%B7%9C%EC%B9%99%EC%9D%84%20%EC%B6%94%EA%B0%80%ED%95%9C%20%ED%9B%84%20SELinux%20%EC%A0%95%EC%B1%85%EC%9D%84%20%EB%8B%A4%EC%8B%9C%20%EC%9E%91%EC%84%B1%ED%95%98%EB%8A%94%20%EC%A4%91%20%EC%98%A4%EB%A5%98%EA%B0%80%20%EB%B0%9C%EC%83%9D%ED%96%88%EC%8A%B5%EB%8B%88%EB%8B%A4..png)
난 이런 일을 겪고 있어가이드이를 통해 애플리케이션에 대한 사용자 정의 SELinux 정책을 생성하고 커널 시스템 파일에 대한 무제한 액세스를 제한할 수 있습니다. 9단계에서는 유형 적용 파일(mydaemon.te)에 규칙을 추가하고 다음 명령을 실행하여 정책을 다시 빌드하고 다시 설치해야 합니다.mydaemon.sh스크립트. 불행하게도 나는';' 표시에서 "알 수 없는 유형 var_log_t" 오류 발생다음과 같습니다. [ec2-user@ip-172-31-6-46 ~]$ sudo ./mydaemon...
audit2allow -a 출력에서 생성된 사용자 정의 pp에 대한 원본 .te 파일이나 .mod 또는 .pp 파일이 없습니다. 정책은 현재 서버에서 실행 중이며 새 Audit2allow 규칙을 첨부하고 pp 파일만 유지할 수 있는 원본 te 파일을 복원하려고 합니다. cli 파일을 캡처하면 규칙을 볼 수 있지만 .te 파일을 다시 가져올 수 있는 방법이 필요합니다. cli 파일 출력 (typeattributeset cil_gen_require nrpe_t) (typeattributeset cil...
RHEL 8.9에서는 루트 ID를 사용하여 파일을 /etc/systemd/system/만들었 습니다 . 이 작업을 수행할 때 기본적으로 아래와 같은 태그가 있습니다.custom.servicevils -ldZ -rw-r--r--. 1 root root unconfined_u:object_r:systemd_unit_file_t:s0 1086 Mar 5 14:41 custom.service 이 위치의 나머지 파일에는 다음 태그가 있습니다. custom.service이러한 특정 태그만 포함하도록 파일을...
루트 파일 시스템의 거의 모든 파일에 SELinux 컨텍스트가 설정되어 있는 것을 확인했습니다. 이는 커널 4.19에서 구축한 사용자 정의 Linux 이미지로, 서비스 관리를 위한 systemd 서비스, 컨테이너 실행을 위한 Docker 런타임 등과 같은 사용자 공간 패키지가 포함되어 있습니다. SELinux는 활성화되지 않았으며 존재 /etc/selinux하지도 않습니다 /etc/selinux. 예를 들어: # ls -Z /bin/ls system_u:object_r:admin_home_t:s0 /...
우리는 libselinux, attr, OpenSSH, systemd, docker-ce 및 기타 몇 가지를 포함하는 사용자 정의 Linux 및 사용자 영역 애플리케이션을 보유하고 있습니다. Fedora와 유사한 rpm 기반 빌드 시스템이 있습니다. SElinux를 활성화하지 않았지만 아래와 같이 ls -l 및 ls -Z의 출력에서 SElinux 보안 컨텍스트를 볼 수 있습니다. # getenforce Disabled 산출ls -l / # ls -l total 84 drwxr-xr-x. 2 ...
..png)
SELinux 사용자 컨텍스트에 여러 사용자를 추가했습니다. # semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * bob staff_u s0-s0:c0.c1023 * phil sta...
auditdSELinux는 (이름이 지정된) 프로세스 시작을 허용하지 않습니다 . 내가 찾은 거부에 대한 유일한 언급은 다음과 myplagin같습니다 . 하지만 정책에 추가해야 하는 새로운 규칙이 무엇인지 확인하려면 audit.log 스타일의 거부( )를 보고 싶습니다. ./var/log/audit/audit.log/var/log/messagesCentos8 auditd[3119]: Unable to stat /home/cust/myplagin (Permission denied)type=AVC msg...
SELinux 및 NetworkManager와 읽기 전용 rootfs를 사용하도록 AlmaLinux 9.2 기반 시스템을 설정하려고 합니다. 여러 가지 이유로 "키 파일"을 별도의 파티션에 보관하고 싶습니다. 다음을 포함하는 작은 구성 파일을 추가했습니다 /etc/NetworkManager/conf.d/20-system-connections.conf. [keyfile] path=/data/etc/NetworkManager/system-connections/ SELinux가 "용서"하는 한 잘 작동합...
SELinux 리마킹은 부팅 단계에서 오랫동안 지속될 수 있습니다. 이 프로세스가 다른 시작에 의해 중단되면 어떻게 되나요? SELinux가 마지막 부팅에서 완료되지 못한 경우 처음부터 다시 표시합니까, 아니면 중단된 위치를 기억하고 중단된 위치에서 계속 진행합니까? ...
/proc내 감사 플러그인 프로세스는 파일을 반복 하고 읽을 수 있어야 /proc/pid/stat하지만 SElinux는 이를 거부합니다. 내 플러그인의 프로세스 컨텍스트: ps auxZ | grep -i myplugin system_u:system_r:auditd_t:s0 root 8143 0.3 0.3 96188 6284 ? D<l 11:02 0:00 myplugin 거부 로그 예:type=AVC msg=audit(1705309402.866:...