selinux
普通台式电脑应该使用 Gentoo 的 Hardened 配置文件/SELinux 吗?
好吧,标题几乎说明了一切。我正在我的机器上安装 Gentoo,我想知道我是否应该在台式电脑上使用 SELinux。我还想知道是否有任何我应该知道的重要影响(例如性能)。 谢谢,朱利安。 ...
selinux
selinux
OpenSUSE 上的沙盒工具操作不允许
我已经在 OpenSUSE 11.3 系统上安装了 Se Linux。所有配置均正确。 当我使用沙盒工具时: > LANG=C sandbox -X -H sehome -T tmp -t sandbox_web_t firefox /usr/bin/chcon: failed to change context of `.sandboxrc' to `user_u:object_r:sandbox_web_file_t:s0:c178,c402': Invalid argument /usr/bin/chcon: failed to chang...
selinux
Selinux 策略允许所有访问脚本或不记录此脚本所做的任何操作
我在 cron 中每 5 分钟运行一次 bash 脚本,它基本上运行一些命令,例如:mkdir, top, grep, date, wait, sleep, jstack。它在用户上运行bob。 它生成了大量日志,我想从 auditd 中过滤掉它们。此脚本必须在用户上运行bob,因此我无法专门为该脚本创建新用户并按用户进行过滤。我还想保留生成的其他日志bob。我尝试将 selinux 策略更改为自定义策略,并通过在 auditd 规则中指定此策略来取消过滤。它工作正常,但是由于 selinux 拒绝,现在生成了更多日志。我根据从审计日志中获得的信息进一步调整...
selinux
为特定目录创建混合 SELinux 策略?
我有一台机器“NFS-Server”,一台机器“Hybrid”和一台机器“TFTP-Client”,我想通过以下方式连接它们: NFS 服务器允许 Hybrid 安装到共享 Hybrid 还拥有一个 TFTP 服务器,地址为/var/lib/tftpboot TFTP-Client 从 Hybrid 获取文件/var/lib/tftpboot 任何放置在 NFS 服务器共享中的文件都应该能够被 TFTP 客户端拉取,因此 NFS 挂载和 TFTP 服务器目录之间需要存在某种实时关系。 我到目前为止已经尝试过: 直接挂载/var/lib/tftpboot...
selinux
在基于 Debian 的系统上启用 Selinux
我只是想知道是否有办法在基于 Debian 的系统上启用 SElinux。我目前正在运行 parrot OS,我认为是 Debian 10,我在其上启用 Selinux 时遇到了问题。当我运行时,sudo selinux-activate它说要启动机器,但我什么也不做,它就启用了。我不知道是不是因为它与 Debian 不兼容。顺便说一句,我已经卸载了 App armor。 这是输出check-selinux-installation getfilecon: getfilecon(/proc/1) failed: Operation not support...
selinux
Tomcat 从命令行运行,但不会作为 systemd 服务启动
我已经在 Oracle Linux 9 上构建了一个 Apache Tomcat 9.0.83 服务器,它不会作为systemd服务启动,但如果您从命令行运行它,它确实可以工作。 sudo su - tomcat /u01/tomcat/my_server/bin/startup.sh 错误消息表明禁止启动startup.shTomcatbin目录中的 shell 脚本。我做错了什么? 这是我所知道的。 journalctl -xeu my_server_tomcat.service 这表明它因以下错误而死亡。 systemd[4508]:我的服务器tom...
selinux
更细粒度的角色/类型访问(特别是 auditd_log_t)
假设我想使用 SELinux 来锁定审计日志,甚至比锁定普通日志更严格。普通日志通常为 类型var_log_t,但审计日志为 类型auditd_log_t。因此至少有一个区分其访问权限的基础。 我想做的是拥有几种不同的管理员角色类型,它们都可以访问类型的对象var_log_t,但只有其中权限更高的角色才能访问类型的对象auditd_log_t。但到目前为止,我还没有找到如何查看(更不用说调整)核心规则,即“可能主题做行动到目的“?” 就目前情况而言,如果我有一个用户类别的“普通”管理员staff_u,并且使用 sudo 升级路径,sysadm_r如所述3.9...
selinux
Almalinux9 SSH 端口更改不接受连接
有人能提示一下还有什么问题吗?系统 Almalinux9,位于 VPS。我想将 SSHD 的一个端口更改为 60022,但当我尝试连接它时,它无论如何都没有响应:“网络错误:连接超时”。谢谢 添加到sshd_config单独的行 Port 60022 Port 22 ss -lntp | grep ssh LISTEN 0 128 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=933,fd=3)) LISTEN 0 128 0.0.0.0:6...
selinux
在 golang:1.20 容器中构建时出现 docker/podman 问题
有人知道为什么 podman 失败而 docker 可以工作吗? podman: $ podman run --rm -v "$PWD":/usr/src/myapp -w /usr/src/myapp golang:1.20 go build -v go: go.mod file not found in current directory or any parent directory; see 'go help modules' 码头工人: $ sudo docker run --rm -v "$PWD":/usr/src/myapp -w /us...
selinux
如何禁用“挂起到 RAM”并启用“挂起到空闲”?
我找到一些包含大量关于此主题的信息的帖子和文章,但我似乎还无法理解。我在华硕 tuf gaming x570 主板和 AMD Ryzen 7 PRO 4750G 上运行具有安全启动和全盘加密功能的 Fedora 工作站 cat /sys/power/mem_sleep s2idle [deep] 以下是我读到的关于此内容的信息: https://discussion.fedoraproject.org/t/laptop-appears-to-sleep-but-not-suspend/77193/3 https://www.kernel.org/doc/...
selinux
为什么 SELinux 阻止在 HTTPD 的 www 文件夹上挂载?
我花了一段时间,并且不得不使用 ChatGPT 来理解,当我执行以下命令时: # mount /dev/MyVG/MyLVWithFileSystem /var/www/html 我无法获取存储网站文件的 lv,因为SELinux 正在阻止它,我知道我可以禁用 SELinux,然后我就可以获取我的网站文件,但我必须明白 - 为什么 SELinux 阻止我的 LV 安装在我的 html 目录中? (我的意思是,当我在该文件夹上执行操作时ls -l,我会看到我的网站文件。但是,当我使用我的网络浏览器访问我的网站时,它会返回“禁止”或更糟糕的“未找到”) 此外,...
selinux
安装 RSA Web Agent 后重新启动 Apache
下午好, 我们目前正在尝试在 Apache Web 服务器上安装 RSA Web 代理,但在安装后重新启动 Web 服务器时遇到问题。我们收到的错误如下: Mar 08 11:26:53 azu-noc-wiki02 httpd[452272]: httpd: Syntax error on line 364 of /etc/httpd/conf/httpd.conf: Syntax error on line 6 of /etc/httpd/rsawebagent/rsawebagent.conf: Cannot load /etc/httpd/rsawe...
selinux
如何在没有宽松的 SELinux 配置的情况下在 Fedora 37 上配置/保护 LAMP 堆栈?
我已经在 Fedora 37 上安装了所有 LAMP 组件(Apache、MySQL 和 PHP),但目前我还没有将 SELinux 配置从强制更改为宽容,因为我不知道如果出现恶意软件或其他问题会导致什么问题。 当然,即使有必要的 sudo 权限,SELinux 中的强制配置也不允许我更改或配置任何这些程序。 虽然我确实在这里遇到了 SELinux 的 chcon 命令:https://www.thegeekstuff.com/2017/07/chcon-command-examples/,我不清楚这些命令是否能解决我的问题。是否有任何特定命令或其他路径可以...
selinux
Arch:安装 selinux-refpoicy-arch 时无法写入管道(管道损坏)
我正在 Arch 系统上设置 SELinux,每个库都已成功构建,模块也已安装,但尝试应用提供的参考策略selinux-refpolicy-arch时失败,(2/2) SELinux: relabel installed files并出现错误error: unable to write to pipe (Broken pipe) 我的内核是5.15.81-1-lts selinux-refpolicy-arch来自 aur 请遵循此处的指南:https://wiki.archlinux.org/title/SELinux#Installation 按照指南操...