我想通过 SELinux(目标策略)保护 RedHat 5.4 应用服务器,并有几个问题
1,我可以在哪里获得 SELinux 源代码(/etc/selinux//src/policy/)安装 cd 上似乎没有这样的包..
2、如何限制用户权限(比如用户jboss不能修改/etc/my.cnf)
3、如何配置JBoss应用服务器在SELinux下工作
尽管我阅读了 NSA 的许多文件,但整个主题对我来说仍然不清楚。我想要的基本上是在某个帐户被破坏的情况下保护文件系统。我找不到任何关于使用 chroot jail、ACL 或 SELinux 保护 jboss 服务器的资料......
答案1
回答 #1
您可以尝试查看 Dan Walsh 的 Fedora SELinux git 存储库。
http://danwalsh.livejournal.com/38032.html
此外,此页面还包含有关使用 SELinux 运行 JBoss 的一些信息
http://community.jboss.org/wiki/startjbossonbootwithlinux
尽管它可能已经过时了而且我不确定您是否已经看过它。
这SELinux 维基是开始制定政策的重要来源。
答案2
Bostonvaulter 的回答很好。您可以使用 Java 安全策略添加另一道防线: http://docs.jboss.org/jbossas/docs/Server_Configuration_Guide/4/html/Security_on_JBoss-Running_JBoss_with_a_Java_2_security_manager.html