Hiroki Ishikawa
ishik****@gmail*****
2012年 3月 9日 (金) 18:00:52 JST
石川です。 3/3通目 です。 ご迷惑をおかけいたしました。 ---------- 転送メッセージ ---------- From: Hiroki Ishikawa <ishik****@gmail*****> 日付: 2012年3月9日17:57 件名: Re: [jsosug:00172] 【質問】SElinuxのユーザにつきまして To: j.ook****@cci***** 大岡さん 石川です。 すみません遅くなりました。。 > すみません。起動方法としては、どちらも > /etc/init.d/named start で起動しています。 それであれば、起動ユーザの権限に依存します。 > 前に教えて頂きましたように、プロセスは > 起動したユーザの権限を引き継ぐということから > 正しい動きだったのかと思いますが、rootユーザへの > 昇格の仕方でも変わってくる形でしょうか。 その通りです。 user_u が su などで root に権限昇格した場合、その root は user_u を引き継ぎます。 staff_u の場合は staff_u, unconfined_u の場合は unconfined_u となります。 コンソールに直接アクセスした場合は "root" をとなります(設定依存)。 ※ sudo -i は /etc/sudoers の設定によります。 2012年3月8日7:09 大岡 純 <j.ook****@cci*****>: > 石川さん > > 大岡です。たびたびありがとうございます。 > > すみません。起動方法としては、どちらも > /etc/init.d/named start で起動しています。 > > 起動スクリプト内部で、下記を実行している形になります。 > > /usr/sbin/named -u named -t /var/named/chroot > > いろいろ調べた結果、一般ユーザからsu - もしくは > sudo su - でroot になった後で起動スクリプトを叩くと > user_uになり、コンソールからrootでログインした後に > 起動スクリプトを叩くと、rootで起動するようでした。 > > 前に教えて頂きましたように、プロセスは > 起動したユーザの権限を引き継ぐということから > 正しい動きだったのかと思いますが、rootユーザへの > 昇格の仕方でも変わってくる形でしょうか。 > > よろしくお願いします。 > > > > On Thu, 8 Mar 2012 01:08:04 +0900 > Hiroki Ishikawa <ishik****@gmail*****> wrote: > >> 大岡さん >> >> 石川です。 >> >> > 他で同じように構築したDNSサーバは、プロセスが >> > root:system_r:named_tで起動しているので、SELinuxの設定に >> > 違いがあるのかと思い、質問した形になります。 >> >> 2つの違いは起動スクリプトを使用しているかそうでないかです。 >> 同じように構築をしているのだとは思いますが、起動方法が異なります。 >> 起動スクリプトを使用しないのには理由があるのでしょうか。 >> >> ちなみに、SELinux のユーザ設定は特に関係ありません。 >> >> >> > user_uの権限になるほうが正しいのでしょうか。 >> >> その手順で実行した場合は user_u になることが正しいですが、 >> システム的には正しくないように思えます。 >> >> >> 2012年3月7日9:28 大岡 純 <j.ook****@cci*****>: >> > 石川さん >> > >> > 大岡です。 >> > 教えていただき、ありがとうございます。 >> > いろいろ説明不足で申し訳ありません。 >> > >> > 下記のコマンドでnamedを実行しています。 >> > /usr/sbin/named -u named -t /var/named/chroot >> > >> > # id named >> > uid=25(named) gid=25(named) 所属グループ=25(named) context=user_u:system_r:unconfined_t >> > >> > yumで入れたrpmのbindをそのまま使っている形になります。 >> > >> > 他で同じように構築したDNSサーバは、プロセスが >> > root:system_r:named_tで起動しているので、SELinuxの設定に >> > 違いがあるのかと思い、質問した形になります。 >> > >> > 起動したプロセスは起動したユーザの権限を引き継ぐことは >> > 理解しているのですが、namedユーザで起動させていることから >> > user_uの権限になるほうが正しいのでしょうか。 >> > >> > よろしくお願いします。 >> > >> > >> > On Tue, 6 Mar 2012 22:50:51 +0900 >> > Hiroki Ishikawa <ishik****@gmail*****> wrote: >> > >> >> 大岡さん >> >> >> >> 石川と申します。 >> >> >> >> > user_u:system_r:named_t >> >> user_u を持った一般ユーザからプロセスを起動しているように見えます。 >> >> sudo /etc/init.d/named start をしていませんか? >> >> >> >> ※ 起動したプロセスは起動したユーザの権限を引き継ぎます。 >> >> >> >> >> >> > root:system_r:named_t >> >> >> >> と、したいのであれば root ユーザで >> >> /etc/init.d/named start をしてやれば目的のユーザで起動をします。 >> >> >> >> >> >> ただし、通常、named のようなデーモンは init プロセスから >> >> 起動され ユーザには system_u を持ちます。 >> >> システム管理者が手動で init スクリプトを起動する場合には >> >> init プロセスから見せかける必要があります。 >> >> >> >> run_init(8) を使用することでそれが可能になります。 >> >> run_init /etc/init.d/named start >> >> >> >> >> >> ではでは。 >> >> >> >> >> >> 2012年3月6日21:42 大岡 純 <j.ook****@cci*****>: >> >> > はじめまして >> >> > >> >> > 大岡と申します。 >> >> > >> >> > SELinuxのユーザ設定について、質問したく >> >> > ご連絡しました。 >> >> > >> >> > namedを動かしているのですが、プロセスのラベルが >> >> > 下記になってしまっています。 >> >> > >> >> > user_u:system_r:named_t >> >> > >> >> > 私としては、下記にしたいのですが、どの設定を >> >> > 確認したらいいでしょうか。 >> >> > >> >> > root:system_r:named_t >> >> > >> >> > semanage login -l の結果は、下記となっています。 >> >> > Login Name SELinux User MLS/MCS Range >> >> > >> >> > __default__ user_u s0 >> >> > root root SystemLow-SystemHigh >> >> > >> >> > ご教授頂ければと思います。 >> >> > よろしくお願いします。 >> >> > >> >> > _______________________________________________ >> >> > Japan secure operating system users group >> >> > users****@secur***** >> >> > http://lists.sourceforge.jp/mailman/listinfo/jsosug-users >> >> >> >> >> >> >> >> -- >> >> Hiroki Ishikawa <ishik****@gmail*****> >> > >> >> >> >> -- >> Hiroki Ishikawa <ishik****@gmail*****> > > ********************************************* > 株式会社 サイバー・コミュニケーションズ > ADJUST事業本部 システム開発本部 > ADJUST開発部 兼 広告技術部 > > 大岡 純(Jun Ooka) > E-mail:j.ook****@cci***** > > 〒105-0021 > 東京都港区東新橋2-14-1 コモディオ汐留8F > TEL:03-5405-4510 FAX:03-5425-6110 > ************************************************** > -- Hiroki Ishikawa <ishik****@gmail*****> -- Hiroki Ishikawa <ishik****@gmail*****>
