SELinuxの最近のブログ記事

Movable Typeの更新覚書

ueno (2010年1月14日 18:04) | コメント(0) | トラックバック(1)
ブログ用に自宅サーバでMovable Typeのオープンソース版(4.x)を使用している。セキュリティ上の脆弱性等が報告されたので対策版をインストールした(4.23から4.27へのリビジョンアップ)。
これは、その時の覚書だ。私の環境に完全に依存しているため、他の方は参考になりません。悪しからず。

バージョンアップ方法は提供元のサイトに記載されているのでそこを参考にしてほしい。

  • /var/wwwディレクトリ下に展開する。/var/www/MTOS-4.xx-ja
  • SELinuxのセキュリティコンテキストを適切な値に設定する。セキュリティポリシーがどうなっているかが問題だが、私の環境では"restorecon -vR ."で適切なセキュリティコンテキストが設定される。なお、ファイルのセキュリティポリシーは以下のようにしている(CGIには実行権限、データの書き込みが必要な個所は書き込み権限、その他は読み込み権限のみ)。
/var/www/MT.*/.*\.cgi                           gen_context(system_u:object_r:httpd_sys_script_exec_t,s0)
/var/www/blog(/.*)?                               gen_context(system_u:object_r:httpd_sys_content_rw_t,s0)
/var/www/MT.*/mt-static/support(/.*)?    gen_context(system_u:object_r:httpd_sys_content_rw_t,s0)
  • /etc/httpd/conf.d/blog内の"Alias"や"Directory"を展開したディレクトリに変更する。
  • mt-config.cgiの修正。CGIのパスやデータベースの設定をする。
  • "mt-static/support"を旧ディレクトリからコピーする。今後のために、mt-config.cgiで別ディレクトリにしておいたほうがいいかもしれない。
  • ファイルのオーナー・グループをApache:Apacheに変更する。
  • Apacheを再起動する。
  • 管理サイトにログインすると、DBを更新するかという問い合わせがるので更新を行う。

更新前にバックアップを取らなかったのでちょっと心配だったが、問題なく出来たほっとした。念のため更新後にバックアップを採取した。

SELinuxのポリシーに悪戦苦闘

ueno (2009年10月 5日 14:57) | コメント(2) | トラックバック(0)
前々から気づいていたのだが、誰かがブログにコメントした場合、コメントがあった旨のお知らせメールが送信されないでいた。理由は単純で、SELinuxのセキュリティポリシーのせいだ。httpd(Apache)からmail(sendmail)を起動した場合、ドメイン遷移が行われないようになっているため、httpdがsendmailのリソースにアクセスできないようになっている。

ブログにコメントする人もいないし、コメント自体は問題なく登録できているのでほったらかしにしていた。ところが、昨日、システムのログをチェックしていたところ、だれかコメントをしようとした形跡があった。ブログへのユーザ登録までは終わっていたようだ。登録されたユーザは「保留」になっていた。これは、「登録確認用のメール」が送信されなかったため、登録者は「保留」から「有効」に変更できなかったからだ。これじゃ、コメントのしようもなかったのだろう。申し訳ない。

そこで、SELinuxのセキュリティポリシーを変更し、ブログからメールが送られるようにした。最初は、たいしたことはないと思っていたのだが、ちょっと手間取ってしまった。
続きを読む: SELinuxのポリシーに悪戦苦闘

セキュアOS(SELinux)でセキュリティが弱くなる

ueno (2009年7月21日 13:48) | コメント(0) | トラックバック(0)
セキュアOSだからと言って万全でないのは分かっているのだが、
SELinuxのせいで逆にセキュリティが弱くなるとは残念だ。

Linuxの脆弱性を突くゼロデイエクスプロイトが公開に」より抜粋

<前略>
さらに、このコードは、カーネルの外側で動作しているアプリケーションに対して
Security-Enhanced Linux(SELinux)がまだ機能していると信じ込ませながら、
auditやSELinux、AppArmor、Linux Security Moduleといったセキュリティ機能を
無効にする任意コード実行を試みる。
Spengler氏はソースコードに関連するメモの中で、OSの追加機能としてSELinuxを
実装している場合、セキュリティが弱くなると述べた。
<後略>

TOMOYO Linuxメインライン化記念勉強会&パーティ

ueno (2009年7月 3日 22:29) | コメント(0) | トラックバック(0)
TOMOYO LinuxがKernelソースのメインラインに組み込まれたことを記念した勉強会とパーティに出席した。勉強会は恵比寿ガーデンプライスタワーにある日本SGI社のホール、パーティは同じビルの「ライオン」で開催された。

このような勉強会に参加するのは初めてで、とても新鮮だった。
若い人たちがこうも真剣にOSSに取り込んでいるのかと思うと、私ももう少し若ければなぁ、とも感じたし、逆にまだ何かできるのではないかとも思った。
DSC01483.JPG上記画像は、TOMOYO Linuxのメインライン化に貢献したと言うことで、
プロジェクトリーダの原田さんから よしおか さんに感謝状が渡されるところである。
続きを読む: TOMOYO Linuxメインライン化記念勉強会&パーティ

SELinuxの設定変更

ueno (2009年1月11日 18:25) | コメント(0) | トラックバック(0)
本サーバをFedora 10にバージョンアップしたは良いが、SELinuxはpermissiveモードで運用していた。外部から攻撃を受けるわけでもないのでこのままでもいいのだが、やはりSELinuxに携わった者としてはenforcingモードで運用すべきだと思ったのだ。

ただ、Fedora Core 2以来ほとんどさわったことがなかったので、Fedora 10ではかなり戸惑ってしまった。まず、ポリシーのソースの展開方法も分からない。ポリシーの構成もかなり変更されている。

悪戦苦闘しながらも、どうにかenforcingモードに変更することができた。元は、targetedポリシーなのであまり変更はいらないのだが、mediawikiとMovable Type(blog)ようにちょっと変更が必要であった。

作業内をを忘れないようにSELinux関連に覚書として残しておく。

SELinux勉強会

ueno (2006年9月 4日 16:32) | コメント(0) | トラックバック(0)

SELinux勉強会があるそうです。
イベント名:「SELinux勉強会: ユーザーフレンドリーなセキュアOSとは?」
9月29日(金) 17:00-18:10(勉強会) 18:30~(懇親会)
http://www.selinux.gr.jp/topic.html

日本SELinuxユーザ会

ueno (2004年7月 7日 22:00) | コメント(0) | トラックバック(0)
日本SELinuxユーザ会のオフ会に出席 
« PC | メインページ | アーカイブ | 一般 »

カテゴリ

このアーカイブについて

このページには、過去に書かれたブログ記事のうちSELinuxカテゴリに属しているものが含まれています。

前のカテゴリはPCです。

次のカテゴリは一般です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

アーカイブ

最近のコメント

Powered by Movable Type 4.27-ja