ノート/SELinux

サイトトップ

ノート
データ処理
├マイニング
├バスケット解析
├バスケット解析をＲで
├図書貸出をＲで
├モデルクラスタリング
└
テキストマイニング
├テキストマイニングTM
├TMとシソーラス
├PubMedをTM
├TMとMeSH
├TMとNLTK
├テキストマイニングとtagger
├医薬品添付文書ＤＢ
├論文の処理1
├剽窃１
├Bing検索
└
分子進化学
├分子進化学
└
Pythonと論文アクセス
├Pythonを使ってみる
├PythonでPubMed
├Pythonで...続き
└
Macメモ
├Script

&ref(): File not found: "favicon_story.txt" at page "ノート/ノート";

自信ないので
├Winのバッチ
│├スクリプト入門
│├バッチファイル
│├SETコマンド
│├自分のメモ
│└
└

メニュー編集

SElinuxの要領のよい解説　(2013-07-01） †

⇒　　第5回　タイプを変更してトラブルに対処する

↑

SELinux (Security Enhanced Linux) でsecurity変更（2009-05-04） †

oregano (Fedora 10, SELinux) で、PHPからexecやsystemで別ファイルを実行させると、実行できないエラー。httpdのエラーログには、permission denied. のメッセージ。

確認のため、もっとも単純なHalloWorldのプログラムをPHPのexecから実行させてみる。 PHPのソースは

<HTML><BODY>
<?php
  $output = exec("/home/yamanouc/src/halloworld");
  print("<pre>$output</pre>\n");
?>
</BODY>
</HTML>

やはりエラー。

sh: /home/yamanouc/src/halloworld: Permission denied

いろいろチェックしたが、特に他の（SELinuxでない）サーバーでは動くことを確認。そういえば前にmoodleを導入したときにもsendmailとのリンクでアクセス権限でトラブルを起こした記憶がある。これもその可能性あり。

SELinuxについて少し調べてみる。SELinuxがオンになっているか？

getenforce

でEnforcing　と出た。オンになっている。オフにするのも１つの手だが、せっかくなので何とかセキュリティを保ったまま実行させたい。（この実行自体がかなりセキュリティ的にはヤバイが）。

解決策

参考＞＞たとえばhttp://www.stackasterisk.jp/tech/systemConstruction/seLinux04_01.jsp（但しFedora5以降で変更があるので注意）

トラブル直後に、

audit2allow -a -l -M myPHPexec

これは、auditdが動いている環境でauditログファイルから（-aオプション）エラーを見つけ、それを修正するためのallowコマンド列を吐き出すためのコマンドである。

追加すべきコマンド列は

#============= httpd_t ==============
allow httpd_t user_home_t:file { read execute execute_no_trans };
allow httpd_t user_tmp_t:file { read execute execute_no_trans };

だったが、それをモジュール（Fedora５以降は、ソースからコンパイルする方式をやめ、ユーザが追加モジュールとして追加する方法になった）に作る。（-Mオプション）。作成されたのは、モジュールファイル　myPHPexec.pp（＝バイナリ）である。

なお、同時にソースファイル（myPHPexec.te）も作成・出力されている。

%less myPHPexec.te

module myPHPexec 1.0;

require {
        type user_tmp_t;
        type httpd_t;
        type user_home_t;
        class file { read execute };
}

#============= httpd_t ==============
allow httpd_t user_home_t:file { read execute execute_no_trans };
allow httpd_t user_tmp_t:file { read execute execute_no_trans };

audit2allowの結果の出力メッセージは

******************** IMPORTANT ***********************
To make this policy package active, execute:

semodule -i myPHPexec.pp

であったので、このsemodule -i　コマンドを実行する。

semodule -i myPHPexec.pp

大分時間がかかったが、完了。

（すべての）モジュールをリストするコマンド

semodule -l

で、インストールされたかどうか確認できる。

↑

おまけ　（2010-08-18） †

後から追加したファイルが、セキュリティのプロパティ（タグ？）が付いていない為に、 SeLinuxにはねられる場合、コマンド　restorecon <ファイル名>　が効くことがある。
このコマンドは、プロパティをstraightにするらしい。

最新の5件

SElinuxの要領のよい解説 (2013-07-01） †

SELinux (Security Enhanced Linux) でsecurity変更 （2009-05-04） †

おまけ （2010-08-18） †

SElinuxの要領のよい解説　(2013-07-01） †

SELinux (Security Enhanced Linux) でsecurity変更（2009-05-04） †

おまけ　（2010-08-18） †