Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
- From: Vincent RAIMBOUX <adresse@cachée>
- To: adresse@cachée
- Subject: Re: [sympa-fr] selinux
- Date: Tue, 7 Mar 2017 09:06:32 +0100 (CET)
Bonjour,
Merci Lionel pour le tuyau. Jusqu'ici j'exploitais directement les messages avc dans l'audit.log. Mais c'est laborieux. Cet outil m'a l'air très pratique.
Avez-vous modifié le contexte des dossiers/fichiers d'installation de sympa?
Vincent Raimboux
Centre de Ressources Informatiques
_________________________________________
UTT - Université de Technologie de Troyes
UTT - Université de Technologie de Troyes
12 rue Marie Curie - CS 42060 - 10004 TROYES CEDEX
Tél. : (33) 03 25 71 76 00 | Fax : (33) 03 25 71 76 76
Tél. : (33) 03 25 71 76 00 | Fax : (33) 03 25 71 76 76
De: "lionel gadille" <adresse@cachée>
À: adresse@cachée
Envoyé: Lundi 6 Mars 2017 14:25:27
Objet: Re: [sympa-fr] selinux
À: adresse@cachée
Envoyé: Lundi 6 Mars 2017 14:25:27
Objet: Re: [sympa-fr] selinux
Bonjour
Pour ce faire il faut installer
setroubleshoot-server
sealert -a /var/log/audit/audit.logce qui permet d'avoir des messages de ce style
***** Plugin connect_ports (85.9 confidence) suggests *********************
If you want to allow /usr/sbin/httpd to connect to network port 8086
Then you need to modify the port type.
Do
# semanage port -a -t PORT_TYPE -p tcp 8086
où PORT_TYPE est l'une des valeurs suivantes : dns_port_t, dnssec_port_t, http_port_t, kerberos_port_t, ocsp_port_t.
---> ici un apache qui veut joindre un jetty sur le port 8086
sa proposition est adéquate
semanage port -a -t PORT_TYPE -p tcp 8086
autorise le tcp vers le port 8086
sa indique aussi pour les protections fichier
SELinux is preventing /usr/sbin/sshd from read access on the fichier authorized_keys.
***** Plugin restorecon (99.5 confiance) suggéré*****************************
Si you want to fix the label.
/var/lib/pgsql/.ssh/authorized_keys default label should be ssh_home_t.
Alors you can run restorecon.
Faire
# /sbin/restorecon -v /var/lib/pgsql/.ssh/authorized_keys
bref l'outils nous guide pour régler les autorisations
Pour ce qui est de la nsa si vous utilisez du sisco ou autre hardware ricains
Je ne vois pas en quoi selinux fais courir plus de risque
Oui la sécurité est forcement amélioré puisque selinux bloque tous dialogue même interne y comprit l’accès au fichier
par exemple mon ssh qui ne pouvez pas lire la clef car elle n’étais pas dans le .ssh
Donc que ce soit dans le privé ou le public j'ai toujours fais marché selinux sur met serveur
lionel
Le 05/03/2017 à 18:40, Guillaume
Tournat a écrit :
adresse@cachée">Le 02/03/2017 à 11:36, Vincent RAIMBOUX a écrit :
adresse@cachée">Bonjour,Est-ce que quelqu'un fait tourner sympa avec selinux en mode enforcing?J'aimerais beaucoup échanger sur le sujet.Merci
j'aurai du poster ca vendredi, mais bon... c'est plus fort que moi :-)
est-ce que quelqu'un a réussi à faire tourner quoi que ce soit avec SElinux ?
est-ce que quelqu'un a confiance dans ce module développé par la NSA ?
est-ce que SElinux améliore vraiment la sécurité du système Linux ?
gu!llaume
-- Lionel Gadille, Ingénieur Service Informatique Grenoble INP - Ensimag, bureau E208 681 rue de la Passerelle BP 72, 38402 Saint Martin d'Hères CEDEX Tél.: +33 (0)4 76 82 72 47
-
[sympa-fr] selinux,
Vincent RAIMBOUX, 02/03/2017
-
Re: [sympa-fr] selinux,
Guillaume Tournat, 05/03/2017
-
Re: [sympa-fr] selinux,
lionel gadille, 06/03/2017
-
Re: [sympa-fr] selinux,
Vincent RAIMBOUX, 07/03/2017
-
Re: [sympa-fr] selinux,
lionel gadille, 14/03/2017
- Re: [sympa-fr] selinux, Olivier Le Monnier, 14/03/2017
-
Re: [sympa-fr] selinux,
lionel gadille, 14/03/2017
-
Re: [sympa-fr] selinux,
Vincent RAIMBOUX, 07/03/2017
- Re: [sympa-fr] selinux, David Verdin, 14/03/2017
-
Re: [sympa-fr] selinux,
lionel gadille, 06/03/2017
-
Re: [sympa-fr] selinux,
Guillaume Tournat, 05/03/2017
Archives gérées par MHonArc 2.6.19+.