やったるでぇ このページをアンテナに追加 RSSフィード

2008-03-16 SE-PostgreSQLを試す その2

[SELinux] SE-PostgreSQLを試す その2 (MCS) 16:09

更新はしていませんでしたが…SE-PostgreSQL動きました。

そのことを書く前に少しだけMCSの単純な確認方法をメモしておきます。


簡単なMCSのテスト

手順は以下の通り。

  1. MCSが何かを自力で調べる
  2. 新規ユーザを3つ作成
  3. 各新規ユーザに権限を付与する
  4. 新規ユーザ毎にファイルを作成
  5. rootユーザにてファイルにカテゴリを変更
  6. SELinuxを有効にした状態でファイルを読む

新規ユーザを3つ作成

rootユーザにて新規ユーザを3つ作成します。

# useradd -Z user_u foo

# useradd -Z user_u bar

# useradd -Z user_u hoge


各新規ユーザに権限を付与する

semanageコマンドを使用して権限を付与(修正)します。

設定あたり、mcstransデーモンをOFFにしておきます。

ONでもかまいませんが、MCS/MLSの動作を確認する際はOFFにしておくほうが何かと都合が良いです。


(アレをしないといけないが…。

# /etc/init.d/mcstrans stop

# semanage login -l

# semanage login -m -r s0-s0:c0 foo

# semanage login -m -r s0-s0:c1 bar

# semanage login -m -r s0-s0:c0.c1 hoge

# semanage login -l


設定後、各ユーザでログインし、権限を確認します。

[foo@shimeji tmp]$ id -Z

user_u:user_r:user_t:s0-s0:c0


[bar@shimeji tmp]$ id -Z

user_u:user_r:user_t:s0-s0:c1


[hoge@shimeji tmp]$ id -Z

user_u:user_r:user_t:s0-s0:c0,c1


新規ユーザ毎にファイルを作成

/tmp以下に作成したユーザ毎にファイルを作成します。

ファイル名及びファイルの内容はユーザ名とします。

$ echo `whoami` > `whoami`


作成したファイルの権限を確認します。

$ ls -Z

-rw-rw-r-- bar bar user_u:object_r:user_tmp_t:s0 bar

-rw-rw-r-- foo foo user_u:object_r:user_tmp_t:s0 foo

-rw-rw-r-- hoge hoge user_u:object_r:user_tmp_t:s0 hoge


rootユーザにてファイルにカテゴリを変更

作成したファイルのカテゴリを以下のように変更します。

# chcat c0 foo

# chcat c1 bar

# chcat c0.c1 hoge


ファイルの権限を確認します。

$ ls -Z

-rw-rw-r-- bar bar user_u:object_r:user_tmp_t:s0:c1 bar

-rw-rw-r-- foo foo user_u:object_r:user_tmp_t:s0:c0 foo

-rw-rw-r-- hoge hoge user_u:object_r:user_tmp_t:s0:c0,c1 hoge


SELinuxを有効にした状態でファイルを読む

各ユーザで作成したファイルを読むことにします。

ユーザ fooの場合

[foo@shimeji tmp]$ id -Z

user_u:user_r:user_t:s0-s0:c0

[foo@shimeji tmp]$ cat *

cat: bar: Permission denied

foo

cat: hoge: Permission denied


ユーザ barの場合

[bar@shimeji tmp]$ id -Z

user_u:user_r:user_t:s0-s0:c1

[bar@shimeji tmp]$ cat *

bar

cat: foo: Permission denied

cat: hoge: Permission denied


ユーザ hogeの場合

[hoge@shimeji tmp]$ id -Z

user_u:user_r:user_t:s0-s0:c0,c1

[hoge@shimeji tmp]$ cat *

bar

foo

hoge

[Security] LAC社のJSOCより注意喚起文 16:09

3/12のネタなので、今更ですがご紹介。

【注意喚起】日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について

http://www.lac.co.jp/news/press20080312.html

色々な所で被害や予備行為のようなモノが行われているようです。

[雑記] 日本PostgreSQLユーザ会HP復活? 16:16

いつの間にか、正常なページ表示になっていました。

復活おめでとうございます。

コメントを書く

ishikawa84gishikawa84g 2008/03/21 11:55 必要に駆られアクセスしようとしたらまた死んでいる…。(503)<日本PostgreSQLユーザ会

ishikawa84gishikawa84g 2008/03/22 05:28 生き死にを繰り返しています。

ishikawa84gishikawa84g 2008/03/27 23:01 LACの警告の通りかなり広まってるご様子。

プロフィール

ishikawa84g

いつか修正されるブログ 改め いつまでたっても修正されないブログ

日記の検索

カレンダー
<< 2008/03 >>
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31
最新タイトル
カテゴリー
最近のコメント
最近のトラックバック
ページビュー
115919