今日のSELinux
サーバいじりが、SELinuxツールいじりに直結する今日このごろ。
permissiveだと山ほどメッセージが出て楽しい(か?
バックアップコマンドはどう書くべきか
設定ファイルをいじるときには、あらかじめバックアップを作成したりするのだが、そのときにrestoreconしておくようなコマンドが欲しくなってきた。(以前、Fedora Core 5についてきたSELinuxのFAQに、関係することが書いてあったような気がする←うろおぼえ)
さて、そのコマンド(bashスクリプト)には、どんな権限というか、contextを与えておけばいいんだっけな?
proftpdを動かしたら、sealertに次のようなコマンドをsuggestされたよ。
Detailed Description SELinux has denied the ftp daemon access to users home directories (/home/ユーザ名/Maildir). Someone is attempting to login via your ftp daemon to a user account. If you only setup ftp to allow anonymous ftp, this could signal a intrusion attempt. (FTPクライアントで、自分のホームディレクトリ以下、特にMaildirをアクセスしようとして 拒否されている。もし、anonymous FTPだけが設定されているのだとしたら、これはヤバイ 兆候だ。) Allowing Access If you want ftp to allow users access to their home directories you need to turn on the ftp_home_dir boolean: "setsebool -P ftp_home_dir=1" (FTPクライアントで接続したユーザに、自分のホームディレクトリをアクセス させたい場合は、ftp_home_dir というスイッチ変数をセットする。 その場合のコマンドは "setsebool -P ftp_home_dir=1" である。)
へー。