Cms on SELinux

Hiroki Ishikawa
Hiroki IshikawaHewlett-Packard Japan, Ltd.
CMS on SELinux (やってみた編)


         日本セキュアOSユーザ会
                石川 裕基
Agenda

1. SELinux の概略

2. CMS on SELinux
1. SELinux の概略
SELinux の概略 (アクセス制御(TE))

   「誰(Subject)が何(Object)に対して何を
    するか(Action)」の巨大なルール集
   事前に許可をした動作のみを可能にする
        httpd プロセス が A.html に対して読み込みをする


    Subject, Object, Action の例
    Subject     Process
    Object      File / Directory
    Action      Read / Write / Link
SELinux の概略 (ラベル)

   Subject, Object に付与された特殊な文字列
   全てのSubject, Object にはラベルが付与される
       Subject に付与されるラベル = ドメイン
       Object に付与されるラベル = タイプ


    付与されるラベルの例
    httpd                 httpd_t
    /var/www/html(/.*)?   http_sys_content_t
    /etc/shadow           shadow_t
SELinux の概略 (アクセス制御とラベル)

   Subject, Object 付与されたラベルを
    もとにアクセス制御を行う

    (httpdプロセス) の (A.html) に対する
    (読み込み)を許可




    (httpd_t) の (httpd_sys_content_t) に
    対する (read) を許可
2. CMS on SELinux
CMS on SELinux (前提条件)

以下の環境下で動作検証を行う
OS(Linux) CentOS                5.2
SELinux   Targeted Policy    2.4.6-137
  Web     Apache               2.2.3
  PHP     -                    5.1.6
   DB     MySQL              5.0.45-7
          XOOPS
  CMS                         1.0.1b
          (ホダ塾ディストリビューション)

※ アプリケーションは全て yum を使用してインストールをする
CMS on SELinux (必要なAction)

   XOOPS が動作するために必要なAction
    1.   httpd から XOOPS を読み込みができる
    2.   httpd から XOOPS に書き込みができる
    3.   httpd から XOOPS DBに接続ができる
    4.   適切なラベルを付与する


   最も簡単な方法を紹介
CMS on SELinux (必要なAction)
1. httpd から XOOPS を読み込みができる
  XOOPS を Apache (httpd_t) から
  読ませて良いファイルとして設定する

  Webコンテンツに付与されるラベルは
  一般的には httpd_sys_content_t である

  /var/www/html 以下に配置されたファイルには
  httpd_content_t が付与される

  ⇒ /var/www/html 以下に XOOPS を配置する
CMS on SELinux (必要なAction)
2. httpd から XOOPS に書き込みができる
  httpd_sys_content_t は httpd_t からの
  読み込みのみを許可する

  Boolean値と呼ばれるものを変更することで
  書き込みを可能にすることができる

  変更するBoolean値は
  「httpd_builten_scripting」である

  ⇒ # setsebool -P httpd_builten_scripting 1
CMS on SELinux (必要なAction)
2. httpd から XOOPS に書き込みができる(※)
  前述の場合、全ての httpd_sys_content_t に
  影響を及ぼす

  書き込みを行いたい対象のみを httpd_t から
  書き込ませて良いものとしてラベリングする

  httpd_t の 書き込みを許可するラベルは
  httpd_sys_script_rw_t である

  ⇒ # setsebool -P httpd_builten_scripting 0
  ⇒ # semanage fcontext -a -t httpd_sys_script_rw_t ‘/var/www/html/hd(/.*)?’
CMS on SELinux (必要なAction)
3. httpd から XOOPSのDB(mysql) に接続できる
  local に存在するの DB に接続する場合は
  対応する必要はない

  外部の DB を使用する場合は
  Boolean値を変更する必要がある

  変更するBoolean値は
  「httpd_can_network_connect_db」である

  ⇒ # setsebool -P httpd_can_network_connect_db 1
CMS on SELinux (必要なAction)
4. 適切なラベルを付与/再構築する

  SELinux はラベルを用いてアクセス制御を行う


  ラベルが適切に設定されていない場合、
  不正なアクセスとして処理される


  適切なラベルを付与/再構築する


  ⇒ # touch /.autorelabel && shutdown -r now
    # restorecon -RF -v /var/www
  (または、)
Demo

   時間があれば Demo をします。
1 sur 15

Recommandé

Redisいれてみた par
RedisいれてみたRedisいれてみた
RedisいれてみたYoshida Takumi
191 vues7 diapositives
Shellを書こう 02 shUnit2を使おう par
Shellを書こう 02 shUnit2を使おうShellを書こう 02 shUnit2を使おう
Shellを書こう 02 shUnit2を使おうKeisuke Oohata
1.6K vues28 diapositives
Shellを書こう 01 Shellcheckを使おう par
Shellを書こう 01 Shellcheckを使おうShellを書こう 01 Shellcheckを使おう
Shellを書こう 01 Shellcheckを使おうKeisuke Oohata
759 vues14 diapositives
Oracle xeインストール(linux環境) par
Oracle xeインストール(linux環境)Oracle xeインストール(linux環境)
Oracle xeインストール(linux環境)izuyuri
894 vues13 diapositives
Version管理 1 par
Version管理 1Version管理 1
Version管理 1hakoika-itwg
1.4K vues66 diapositives
STNSサーバーを書いてみた par
STNSサーバーを書いてみたSTNSサーバーを書いてみた
STNSサーバーを書いてみたYoshinori Teraoka
592 vues18 diapositives

Contenu connexe

Tendances

Osc201703 tokyo-clonezilla-v1.2 j par
Osc201703 tokyo-clonezilla-v1.2 jOsc201703 tokyo-clonezilla-v1.2 j
Osc201703 tokyo-clonezilla-v1.2 jAkira Yoshiyama
510 vues35 diapositives
LinuxをインストールしてWebサーバーを立ち上げてみよう par
LinuxをインストールしてWebサーバーを立ち上げてみようLinuxをインストールしてWebサーバーを立ち上げてみよう
LinuxをインストールしてWebサーバーを立ち上げてみようMasataka Tsukamoto
4K vues56 diapositives
講座Linux入門・サーバOSとしてのLinux par
講座Linux入門・サーバOSとしてのLinux講座Linux入門・サーバOSとしてのLinux
講座Linux入門・サーバOSとしてのLinuxTokai University
1.7K vues68 diapositives
自分のPcに仮想環境を作ってlinuxをインストールしてみよう par
自分のPcに仮想環境を作ってlinuxをインストールしてみよう自分のPcに仮想環境を作ってlinuxをインストールしてみよう
自分のPcに仮想環境を作ってlinuxをインストールしてみようNaoyuki Sano
1.1K vues59 diapositives
CLT-012_インサイド UWP アプリ par
CLT-012_インサイド UWP アプリCLT-012_インサイド UWP アプリ
CLT-012_インサイド UWP アプリdecode2016
162 vues36 diapositives
Kickstart, Puppet, Docker par
Kickstart, Puppet, DockerKickstart, Puppet, Docker
Kickstart, Puppet, DockerHirokazu Tokuno
453 vues11 diapositives

Tendances(20)

LinuxをインストールしてWebサーバーを立ち上げてみよう par Masataka Tsukamoto
LinuxをインストールしてWebサーバーを立ち上げてみようLinuxをインストールしてWebサーバーを立ち上げてみよう
LinuxをインストールしてWebサーバーを立ち上げてみよう
講座Linux入門・サーバOSとしてのLinux par Tokai University
講座Linux入門・サーバOSとしてのLinux講座Linux入門・サーバOSとしてのLinux
講座Linux入門・サーバOSとしてのLinux
Tokai University1.7K vues
自分のPcに仮想環境を作ってlinuxをインストールしてみよう par Naoyuki Sano
自分のPcに仮想環境を作ってlinuxをインストールしてみよう自分のPcに仮想環境を作ってlinuxをインストールしてみよう
自分のPcに仮想環境を作ってlinuxをインストールしてみよう
Naoyuki Sano1.1K vues
CLT-012_インサイド UWP アプリ par decode2016
CLT-012_インサイド UWP アプリCLT-012_インサイド UWP アプリ
CLT-012_インサイド UWP アプリ
decode2016162 vues
Gluster fs and_swiftapi_20120429 par Etsuji Nakai
Gluster fs and_swiftapi_20120429Gluster fs and_swiftapi_20120429
Gluster fs and_swiftapi_20120429
Etsuji Nakai2.5K vues
ConoHaオブジェクトストレージ 利用ケース par Junichi Noda
ConoHaオブジェクトストレージ 利用ケースConoHaオブジェクトストレージ 利用ケース
ConoHaオブジェクトストレージ 利用ケース
Junichi Noda3.9K vues
Webサーバ勉強会03 par oranie Narut
Webサーバ勉強会03Webサーバ勉強会03
Webサーバ勉強会03
oranie Narut1.7K vues
OSC2017 Hokkaido. MySQL今こそインストールを極めよう~改めて考える環境構築~ par sakaik
OSC2017 Hokkaido. MySQL今こそインストールを極めよう~改めて考える環境構築~OSC2017 Hokkaido. MySQL今こそインストールを極めよう~改めて考える環境構築~
OSC2017 Hokkaido. MySQL今こそインストールを極めよう~改めて考える環境構築~
sakaik1.1K vues
マルチプラットホームになった PowerShell 6 でクロスプラットホームする par Syuichi Murashima
マルチプラットホームになった PowerShell 6 でクロスプラットホームするマルチプラットホームになった PowerShell 6 でクロスプラットホームする
マルチプラットホームになった PowerShell 6 でクロスプラットホームする
Syuichi Murashima1.7K vues
Elastic searchをrailsから使ってみた par Yoichi Toyota
Elastic searchをrailsから使ってみたElastic searchをrailsから使ってみた
Elastic searchをrailsから使ってみた
Yoichi Toyota3.2K vues
2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり! par Midori Oge
2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!
2013OSC関西@京都_CloudStackとCloudFoundaryがまるわかり!
Midori Oge2.5K vues
Open vSwitchソースコードの全体像 par Sho Shimizu
Open vSwitchソースコードの全体像 Open vSwitchソースコードの全体像
Open vSwitchソースコードの全体像
Sho Shimizu10.3K vues
Pgcon2012 ori-20120224 par Manabu Ori
Pgcon2012 ori-20120224Pgcon2012 ori-20120224
Pgcon2012 ori-20120224
Manabu Ori918 vues
20130328 第03回福岡debian勉強会 debianパッケージ情報と依存関係の可視化 par Tsuyoshi Yamada
20130328 第03回福岡debian勉強会   debianパッケージ情報と依存関係の可視化20130328 第03回福岡debian勉強会   debianパッケージ情報と依存関係の可視化
20130328 第03回福岡debian勉強会 debianパッケージ情報と依存関係の可視化
Tsuyoshi Yamada1.2K vues
RancherでMesosクラスタをデプロイしてみる的ななにか par Masataka Tsukamoto
RancherでMesosクラスタをデプロイしてみる的ななにかRancherでMesosクラスタをデプロイしてみる的ななにか
RancherでMesosクラスタをデプロイしてみる的ななにか
EWD 3トレーニング・コース #29 ewd-xpress を Linux systemdでサービスとして稼働させる par Kiyoshi Sawada
EWD 3トレーニング・コース #29 ewd-xpress を Linux systemdでサービスとして稼働させるEWD 3トレーニング・コース #29 ewd-xpress を Linux systemdでサービスとして稼働させる
EWD 3トレーニング・コース #29 ewd-xpress を Linux systemdでサービスとして稼働させる
Kiyoshi Sawada171 vues

En vedette

OpenStack & SELinux par
OpenStack & SELinuxOpenStack & SELinux
OpenStack & SELinuxHiroki Ishikawa
1.3K vues8 diapositives
uroboroSQLの紹介 (OSC2017 Tokyo/Spring) par
uroboroSQLの紹介 (OSC2017 Tokyo/Spring)uroboroSQLの紹介 (OSC2017 Tokyo/Spring)
uroboroSQLの紹介 (OSC2017 Tokyo/Spring)Kenichi Hoshi
10.4K vues51 diapositives
TripleOの光と闇 par
TripleOの光と闇TripleOの光と闇
TripleOの光と闇Manabu Ori
9.4K vues45 diapositives
OpenStack on OpenStack par
OpenStack on OpenStackOpenStack on OpenStack
OpenStack on OpenStackOpenStack Foundation
8.9K vues18 diapositives
【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月) par
【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月)【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月)
【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月)VirtualTech Japan Inc.
6.9K vues36 diapositives
(旧版) オープンソースライセンスの基礎と実務 par
(旧版) オープンソースライセンスの基礎と実務(旧版) オープンソースライセンスの基礎と実務
(旧版) オープンソースライセンスの基礎と実務Yutaka Kachi
264.1K vues74 diapositives

En vedette(6)

uroboroSQLの紹介 (OSC2017 Tokyo/Spring) par Kenichi Hoshi
uroboroSQLの紹介 (OSC2017 Tokyo/Spring)uroboroSQLの紹介 (OSC2017 Tokyo/Spring)
uroboroSQLの紹介 (OSC2017 Tokyo/Spring)
Kenichi Hoshi10.4K vues
TripleOの光と闇 par Manabu Ori
TripleOの光と闇TripleOの光と闇
TripleOの光と闇
Manabu Ori9.4K vues
【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月) par VirtualTech Japan Inc.
【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月)【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月)
【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月)
(旧版) オープンソースライセンスの基礎と実務 par Yutaka Kachi
(旧版) オープンソースライセンスの基礎と実務(旧版) オープンソースライセンスの基礎と実務
(旧版) オープンソースライセンスの基礎と実務
Yutaka Kachi264.1K vues

Similaire à Cms on SELinux

使いこなせて安全なLinuxを目指して par
使いこなせて安全なLinuxを目指して使いこなせて安全なLinuxを目指して
使いこなせて安全なLinuxを目指してToshiharu Harada, Ph.D
1.7K vues40 diapositives
Hive undocumented feature par
Hive undocumented featureHive undocumented feature
Hive undocumented featuretamtam180
7.9K vues60 diapositives
簡単なHTTPサーバの作成 par
簡単なHTTPサーバの作成簡単なHTTPサーバの作成
簡単なHTTPサーバの作成Panu Avakul
821 vues58 diapositives
2008 08 09_osc2008nagoya_fight_cms_x_cube par
2008 08 09_osc2008nagoya_fight_cms_x_cube2008 08 09_osc2008nagoya_fight_cms_x_cube
2008 08 09_osc2008nagoya_fight_cms_x_cubeTom Hayakawa
729 vues17 diapositives
第9回rest勉強会 ダウンロード・アップロード編 par
第9回rest勉強会 ダウンロード・アップロード編第9回rest勉強会 ダウンロード・アップロード編
第9回rest勉強会 ダウンロード・アップロード編ksimoji
3.9K vues57 diapositives
PHP on Cloud par
PHP on CloudPHP on Cloud
PHP on CloudAkio Katayama
2.3K vues47 diapositives

Similaire à Cms on SELinux(20)

Hive undocumented feature par tamtam180
Hive undocumented featureHive undocumented feature
Hive undocumented feature
tamtam180 7.9K vues
簡単なHTTPサーバの作成 par Panu Avakul
簡単なHTTPサーバの作成簡単なHTTPサーバの作成
簡単なHTTPサーバの作成
Panu Avakul821 vues
2008 08 09_osc2008nagoya_fight_cms_x_cube par Tom Hayakawa
2008 08 09_osc2008nagoya_fight_cms_x_cube2008 08 09_osc2008nagoya_fight_cms_x_cube
2008 08 09_osc2008nagoya_fight_cms_x_cube
Tom Hayakawa729 vues
第9回rest勉強会 ダウンロード・アップロード編 par ksimoji
第9回rest勉強会 ダウンロード・アップロード編第9回rest勉強会 ダウンロード・アップロード編
第9回rest勉強会 ダウンロード・アップロード編
ksimoji3.9K vues
社内向けTech Talk資料~Fluentdの基本紹介~ par Daisuke Ikeda
社内向けTech Talk資料~Fluentdの基本紹介~ 社内向けTech Talk資料~Fluentdの基本紹介~
社内向けTech Talk資料~Fluentdの基本紹介~
Daisuke Ikeda4.3K vues
オライリーセミナー Hive入門 #oreilly0724 par Cloudera Japan
オライリーセミナー Hive入門  #oreilly0724オライリーセミナー Hive入門  #oreilly0724
オライリーセミナー Hive入門 #oreilly0724
Cloudera Japan5.7K vues
Red Hat Storage Server 2.0 on Amazon EC2 導入ガイド par Hirofumi Kojima
Red Hat Storage Server 2.0 on Amazon EC2 導入ガイドRed Hat Storage Server 2.0 on Amazon EC2 導入ガイド
Red Hat Storage Server 2.0 on Amazon EC2 導入ガイド
Hirofumi Kojima1.7K vues
Node の HTTP/2.0 モジュール iij-http2 の実装苦労話 par shigeki_ohtsu
Node の HTTP/2.0 モジュール iij-http2 の実装苦労話Node の HTTP/2.0 モジュール iij-http2 の実装苦労話
Node の HTTP/2.0 モジュール iij-http2 の実装苦労話
shigeki_ohtsu5.3K vues
Hadoopの紹介 par bigt23
Hadoopの紹介Hadoopの紹介
Hadoopの紹介
bigt231.9K vues
HDPをWindowsで動かしてみた par adachij2002
HDPをWindowsで動かしてみたHDPをWindowsで動かしてみた
HDPをWindowsで動かしてみた
adachij20021.6K vues
実践 Reactive Extensions par Shin Ise
実践 Reactive Extensions実践 Reactive Extensions
実践 Reactive Extensions
Shin Ise1.5K vues

Plus de Hiroki Ishikawa

OpenStackを体で操作する par
OpenStackを体で操作するOpenStackを体で操作する
OpenStackを体で操作するHiroki Ishikawa
1.7K vues13 diapositives
AvailabilityZoneとHostAggregate par
AvailabilityZoneとHostAggregateAvailabilityZoneとHostAggregate
AvailabilityZoneとHostAggregateHiroki Ishikawa
10.7K vues58 diapositives
Sesearch par
SesearchSesearch
SesearchHiroki Ishikawa
1.3K vues7 diapositives
OpenStackの情報をどこから得ているのか par
OpenStackの情報をどこから得ているのかOpenStackの情報をどこから得ているのか
OpenStackの情報をどこから得ているのかHiroki Ishikawa
2.6K vues19 diapositives
AppArmorの話 par
AppArmorの話AppArmorの話
AppArmorの話Hiroki Ishikawa
3.4K vues10 diapositives
第9回 OpenStack 勉強会(Glance) par
第9回 OpenStack 勉強会(Glance)第9回 OpenStack 勉強会(Glance)
第9回 OpenStack 勉強会(Glance)Hiroki Ishikawa
6K vues12 diapositives

Plus de Hiroki Ishikawa(13)

Dernier

PCCC23:富士通株式会社 テーマ1「次世代高性能・省電力プロセッサ『FUJITSU-MONAKA』」 par
PCCC23:富士通株式会社 テーマ1「次世代高性能・省電力プロセッサ『FUJITSU-MONAKA』」PCCC23:富士通株式会社 テーマ1「次世代高性能・省電力プロセッサ『FUJITSU-MONAKA』」
PCCC23:富士通株式会社 テーマ1「次世代高性能・省電力プロセッサ『FUJITSU-MONAKA』」PC Cluster Consortium
66 vues12 diapositives
PCCC23:東京大学情報基盤センター 「Society5.0の実現を目指す『計算・データ・学習』の融合による革新的スーパーコンピューティング」 par
PCCC23:東京大学情報基盤センター 「Society5.0の実現を目指す『計算・データ・学習』の融合による革新的スーパーコンピューティング」PCCC23:東京大学情報基盤センター 「Society5.0の実現を目指す『計算・データ・学習』の融合による革新的スーパーコンピューティング」
PCCC23:東京大学情報基盤センター 「Society5.0の実現を目指す『計算・データ・学習』の融合による革新的スーパーコンピューティング」PC Cluster Consortium
27 vues36 diapositives
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向 par
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
101 vues26 diapositives
定例会スライド_キャチs 公開用.pdf par
定例会スライド_キャチs 公開用.pdf定例会スライド_キャチs 公開用.pdf
定例会スライド_キャチs 公開用.pdfKeio Robotics Association
135 vues64 diapositives
光コラボは契約してはいけない par
光コラボは契約してはいけない光コラボは契約してはいけない
光コラボは契約してはいけないTakuya Matsunaga
27 vues17 diapositives

Dernier(7)

PCCC23:富士通株式会社 テーマ1「次世代高性能・省電力プロセッサ『FUJITSU-MONAKA』」 par PC Cluster Consortium
PCCC23:富士通株式会社 テーマ1「次世代高性能・省電力プロセッサ『FUJITSU-MONAKA』」PCCC23:富士通株式会社 テーマ1「次世代高性能・省電力プロセッサ『FUJITSU-MONAKA』」
PCCC23:富士通株式会社 テーマ1「次世代高性能・省電力プロセッサ『FUJITSU-MONAKA』」
PCCC23:東京大学情報基盤センター 「Society5.0の実現を目指す『計算・データ・学習』の融合による革新的スーパーコンピューティング」 par PC Cluster Consortium
PCCC23:東京大学情報基盤センター 「Society5.0の実現を目指す『計算・データ・学習』の融合による革新的スーパーコンピューティング」PCCC23:東京大学情報基盤センター 「Society5.0の実現を目指す『計算・データ・学習』の融合による革新的スーパーコンピューティング」
PCCC23:東京大学情報基盤センター 「Society5.0の実現を目指す『計算・データ・学習』の融合による革新的スーパーコンピューティング」

Cms on SELinux

  • 1. CMS on SELinux (やってみた編) 日本セキュアOSユーザ会 石川 裕基
  • 4. SELinux の概略 (アクセス制御(TE))  「誰(Subject)が何(Object)に対して何を するか(Action)」の巨大なルール集  事前に許可をした動作のみを可能にする  httpd プロセス が A.html に対して読み込みをする Subject, Object, Action の例 Subject Process Object File / Directory Action Read / Write / Link
  • 5. SELinux の概略 (ラベル)  Subject, Object に付与された特殊な文字列  全てのSubject, Object にはラベルが付与される  Subject に付与されるラベル = ドメイン  Object に付与されるラベル = タイプ 付与されるラベルの例 httpd httpd_t /var/www/html(/.*)? http_sys_content_t /etc/shadow shadow_t
  • 6. SELinux の概略 (アクセス制御とラベル)  Subject, Object 付与されたラベルを もとにアクセス制御を行う (httpdプロセス) の (A.html) に対する (読み込み)を許可 (httpd_t) の (httpd_sys_content_t) に 対する (read) を許可
  • 7. 2. CMS on SELinux
  • 8. CMS on SELinux (前提条件) 以下の環境下で動作検証を行う OS(Linux) CentOS 5.2 SELinux Targeted Policy 2.4.6-137 Web Apache 2.2.3 PHP - 5.1.6 DB MySQL 5.0.45-7 XOOPS CMS 1.0.1b (ホダ塾ディストリビューション) ※ アプリケーションは全て yum を使用してインストールをする
  • 9. CMS on SELinux (必要なAction)  XOOPS が動作するために必要なAction 1. httpd から XOOPS を読み込みができる 2. httpd から XOOPS に書き込みができる 3. httpd から XOOPS DBに接続ができる 4. 適切なラベルを付与する  最も簡単な方法を紹介
  • 10. CMS on SELinux (必要なAction) 1. httpd から XOOPS を読み込みができる XOOPS を Apache (httpd_t) から 読ませて良いファイルとして設定する Webコンテンツに付与されるラベルは 一般的には httpd_sys_content_t である /var/www/html 以下に配置されたファイルには httpd_content_t が付与される ⇒ /var/www/html 以下に XOOPS を配置する
  • 11. CMS on SELinux (必要なAction) 2. httpd から XOOPS に書き込みができる httpd_sys_content_t は httpd_t からの 読み込みのみを許可する Boolean値と呼ばれるものを変更することで 書き込みを可能にすることができる 変更するBoolean値は 「httpd_builten_scripting」である ⇒ # setsebool -P httpd_builten_scripting 1
  • 12. CMS on SELinux (必要なAction) 2. httpd から XOOPS に書き込みができる(※) 前述の場合、全ての httpd_sys_content_t に 影響を及ぼす 書き込みを行いたい対象のみを httpd_t から 書き込ませて良いものとしてラベリングする httpd_t の 書き込みを許可するラベルは httpd_sys_script_rw_t である ⇒ # setsebool -P httpd_builten_scripting 0 ⇒ # semanage fcontext -a -t httpd_sys_script_rw_t ‘/var/www/html/hd(/.*)?’
  • 13. CMS on SELinux (必要なAction) 3. httpd から XOOPSのDB(mysql) に接続できる local に存在するの DB に接続する場合は 対応する必要はない 外部の DB を使用する場合は Boolean値を変更する必要がある 変更するBoolean値は 「httpd_can_network_connect_db」である ⇒ # setsebool -P httpd_can_network_connect_db 1
  • 14. CMS on SELinux (必要なAction) 4. 適切なラベルを付与/再構築する SELinux はラベルを用いてアクセス制御を行う ラベルが適切に設定されていない場合、 不正なアクセスとして処理される 適切なラベルを付与/再構築する ⇒ # touch /.autorelabel && shutdown -r now # restorecon -RF -v /var/www (または、)
  • 15. Demo  時間があれば Demo をします。