テクノロジー
SELinux を使おう．使ってくれ． - Qiita

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

SELinux を使おう．使ってくれ． - Qiita

テクノロジーカテゴリーの変更を依頼記事元:

qiita.com/chi9rin

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

421usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

SELinux を使おう．使ってくれ． - Qiita

421 users

qiita.com/chi9rin

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント60件

注目コメント
新着コメント

y-kawazSELinux要因のあらゆるトラブルケースの対応運用コスト（工数・人員確保・教育）と、得られるメリット（SELinuxでしか防げないレアケースの安全性？）、のバランスが著しく悪いのが問題。そこを納得出来る説得を頼む。

2016/12/22リンク

その他

xmisaoサーバは単機能化していく流れで、細かすぎる制御は合わなくなってきているのかも。隔離されているはずの環境が悪さをしないように、保険として包括的にガードしたりログを残すような使い方は良さそうですが。

2016/12/23リンク

その他

thimura「自身でポリシを定義すれば使えますが難易度が高くなるため今回は Debian はやめます．」はい

2016/12/22リンク

その他

John_Kawanishiアプリの稼働要件・サポート対象環境で「SELinuxは無効｣て明記されすぎてるしなぁ（焦

2016/12/22リンク

その他

tailriver便利だったパッケージが apt から削除されたことの意味を考えたほうがいいかも。ユーザーが少ない and/or メンテナを誰もやりたがらない …

2016/12/22リンク

その他

shag要は SELinux は費用対効果が悪いってことなんだと思うんだ。

2016/12/22リンク

その他

FushiharaLinuxのオーナーグループ他人の権限管理方法が廃止されてSELinuxに一本化するってんならともかく、ただの二重管理にしか見えない

2016/12/22リンク

その他

az1zaSELinuxが邪魔だという事を再確認した。

2016/12/22リンク

その他

turanukimaruLinuxの色んな人の作った最小のアプリを組み合わせて大きなアプリを実現するという思想がアプリ単位のセキュリティというアーキテクチャと完全に矛盾するのが痛すぎる。思い通りに動いてこそのLinuxが動かない。

2016/12/23リンク

その他

yogasarootとられても大丈夫、じゃなくてrootで動かしてるのにアクセスはじかれたりしてアプリが落ちる、なんだよな

2016/12/23リンク

その他

nilab「SELinux が有効になっているとパーミッションが取れたとしてもファイルの内容にアクセスできないようになります」「セキュリティホールを突かれてもシステムファイルを容易には読めない，容易には書き換えられない」

2020/03/15リンク

その他

senahate“/etc/selinux/config”

2017/12/28リンク

その他

haneuma0628SELinuxとなかよくなりたい

2017/12/27リンク

その他

meechGentooの場合は(はい

2017/11/07リンク

その他

lowpowerschottky監査ログ見れば原因はすぐに分かります

2017/07/23リンク

その他

moccos_info“SELinux は理解さえすればとても簡単”ネタ系パワーワードのメモ

neta

2017/05/31リンク

その他

HACHI-BAYCentOS 6ではEnforcingでL2TP/IPSecを動かしてる。

SELINUX

2017/01/24リンク

その他

smbdうーん…これじゃあなぁｗ

2017/01/04リンク

その他

tmatsuuDebian/UbuntuはAppArmorでいいよね。というよりも皆AppArmorが動いてることを意識せず有効のまま使ってる可能性。追記：debianは標準では入らないそうです

2016/12/30リンク

その他

kojiro-s確かに、いつもdisableしてた

2016/12/25リンク

その他

tuneSELinuxがあってよかったという事例の公開が求められる

2016/12/25リンク

その他

JULYブコメ見てたらずいぶん不人気だなぁ。RHEL / CentOS の targeted ポリシーだと、パッケージのデフォルトに合わせたディレクトリに配置すれば、ほとんど問題無いけどなぁ。

セキュリティ

2016/12/25リンク

その他

bullet7なんとかさんごめんなさい。

2016/12/23リンク

その他

chopapapaQ.SELinuxって邪魔者ですか？　A。邪魔者です。/rootなのに動かせないもの多すぎで邪魔でしかない。root取られても大丈夫！の対策するよりroot取られない対策するほうが簡単だし効果も高い。

2016/12/23リンク

その他

2016/12/23リンク

その他

wushi普及させたいのであれば、入れる機能の有意義さを語るよりも、それによって阻害されるアプリの問題をどう解決するかを示したほうが良い

2016/12/23リンク

その他

tengo1985debianならapparmor使うんじゃなかったかな。Docker周りを真剣に運用するならちゃんと有効にしろよ、と説明されるよね。

2016/12/23リンク

その他

iww SELinuxを有効にしている人ってまだいるのか。へぇー

2016/12/23リンク

その他

mongrelPdebianなんでこうなった？tomoyoとかに移行すると笑う

2016/12/23リンク

その他

mukaeriptables完璧に覚えよう（違

2016/12/23リンク

その他

raimon49Debian系だから今後も使わない。

2016/12/23リンク

その他

monochrome_K2AndroidはKitKatから採用されているけど単体でセキュリティを確保する必要のあるIoT系のデバイスには有効だと思う。ただ総合的に守っているサーバー系は適材適所で良いと思う

2016/12/23リンク

その他

list1569はいhttps://stopdisablingselinux.com/

2016/12/23リンク

その他

OkadaHiroshiコンテナでなくても、サーバー側は単一機能を提供する方向に進んでいるのでSELinuxと相性がわるいと思う。デスクトップでは Ubuntu or Debian で簡単に使えないのはお話にならない Fedora or CentOS はマイナーすぎる。

2016/12/23リンク

その他

masatomo-mSELinuxを使おうと言うならMLS使うべきなのでは？targetedモードは中途半端で事故が起こるだけで、何のためにSELinuxを使うのかを見失ってる気がする。それならcontainerとかchroot使って情報を閉じ込めた方がしっくりくる

2016/12/23リンク

その他

Shinwiki使うのはいいけど設計書くのが

2016/12/23リンク

その他

src256やっぱいらね

2016/12/23リンク

その他

electroliteSELinuxって正論を言うばかりで人望のない優等生だよな。

2016/12/23リンク

その他

twatwPermissiveで監査ログだけ残しておくのは一定有用

2016/12/23リンク

その他

akanex3すみません。。

2016/12/23リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「SELinux を使おう...」が注目されています。

気持ちをシェアしよう

ツイートする

SELinux を使おう．使ってくれ． - Qiita

この記事の目的 SELinux って邪魔者ですか？「トラブルシュートの時に邪魔だから」「トラブルの元だか...この記事の目的 SELinux って邪魔者ですか？「トラブルシュートの時に邪魔だから」「トラブルの元だから」とか言う理由で /etc/selinux/config で SELINUX=disable したり setenforce 0 したりしていませんか？ SELinux は理解さえすればとても簡単です．本番環境でファイアウォールと WAF の設定をして満足していないで SELinux を使いましょう．対象 SELinux を初めて触る人向けです．玄人の方は他へ．．．本稿の範囲本稿では SELinux を導入しておしまいです．あくまで「みんな，簡単だからね，使おうね！」と言いたいのです．本当は SELinux の効果を示すために Exploit を仕込んだアプリケーションから root を取って不正にファイルに触るところまでやりたいのですが，これまた別の記事にします．僕の願