RHEL9からSELinuxの無効化の仕様が変更される 42
ストーリー by nagazou
変更 部門より
変更 部門より
あるAnonymous Coward 曰く、
日本のSier業界では除け者にされているSELinuxであるが、絶対SELinux無効にするなの人のブログによるとRHEL9におけるSELinuxが変更されるそうだ(security.sios.com)。/etc/selinux/configのSELINUX=enforcingをdisabledにして再起動を行うとブート中にシステムがハングアップするとのこと。対策としてはbootパラメータで"selinux=0"をつけると回避はできるが、RedHat側としては推奨していない。
業務影響のリスクでセキュリティパッチをあてることはNGとされていたのが近年見直されたように(今でもご法度のところはいるが)いずれSELinuxの無効化も許されなくなる時代になるのかもしれない。
どうしてもSELinuxを当たり前の存在にしたいのであれば (スコア:2)
SELinux有効(Enforcing)の状態で正常に動くことを、パッケージソフトが「RHEL○対応」と謳うための条件にすればよい
市場シェアを失いかねない博打かもしれないけど
#海外は本当にSELinux有効が当たり前になっているんだろうか?
RHEL9betaの話なのに…… (スコア:1)
タレコミ主はもとの記事をちゃんと読んで。「RedHat側としては推奨していない。」ってリンクしてるのRHEL7のドキュメントだし、
元記事にも(その元のFedora Wikiにも)「/etc/selinux/configによる無効化(disabled)は現時点では非推奨」って書いてるよ。
Re: (スコア:0)
どーせ元リンクなんて見るやついないだろうと思ったので古いのを出した。すまんな。
なおこの件を追求するとまったく編集してない編集nagazouが血祭りにあげられる。
めんどくさいのか忙しいのか知らんが時折未編集で採用されるときがある。
デスクトップじゃないからな。 (スコア:0)
きちんと権限設計して設定しろってことだな。
日本のSier業界では除け者にされているSELinux (スコア:0)
そうなんですか? なんででしょう?
Re: (スコア:0)
調べてみましたがよくわかりませんでした。
いかがでしたか。
Re: (スコア:0)
わざわざSELinux無効化するようなのはクソSIerだけだよ
Re: (スコア:0)
わからないでしょう?それが理由です。
Re: (スコア:0)
とあるパッケージではインストールガイドで無効にしろって書いてあったな
Re: (スコア:0)
「インストールガイド /etc/selinux/config」でググると、色々な大手ベンダのインストールガイドで無効化が指示されていますね。
Re: (スコア:0)
みんなDebian系列を使っているからとか?DebianのMACはAppArmorが標準で、SELinuxとは同時に(まだ)使えなかったはず。
TOMOYOはいつからか他のMACと組み合わせられるようになってた。うれしい
Re: (スコア:0)
不安定だから。本記事のケース以外でもハングアップする場合が多々ある。
Re: (スコア:0)
日本だけではありません。Amazon Linux なんかも default は disabled です。
Re: (スコア:0)
2022からはこちらも改善され、デフォルト有効になる [classmethod.jp] ようです。
Re: (スコア:0)
ただの怠慢。
秘伝のタレの伝承くらいしか能がないSIerって奴らはLinuxブームが起きたRedHat6あたりで思考停止してやがるので。
っつかSELinuxさえ有効になってれば少々の脆弱性で攻撃受けても被害には繋がらないので、
毎日セキュリティパッチを探す不毛な仕事からかなり開放されるんだけどな。
まぁ「毎日パッチ情報集めてExcelにして提出するだけの簡単なお仕事」を失わないための防衛かもしれんが。
Re: (スコア:0)
毎日パッチ情報集めるのはどんな環境でも必須だろ…本気で言ってるのか…。
許さなくてもいいから (スコア:0)
ハングアップはやめてくれ。
ことあるごとに警告メッセージを出すとか、そういう方向にしてくれ。
Re: (スコア:0)
ハングアップはやめてくれ。
ハングるのは「再発防止策:SELinuxを有効にする」と書かせるための日本向けローカライズじゃね?
除け者というか (スコア:0)
日本のSier業界では除け者にされているSELinuxであるが
きちんと権限設定や運用設計できないから日本のSIerが逃げていた、の間違いでは?
Re: (スコア:0)
設定や設計どころか「とりあえず黙って無効化しとけ」的な社内ノウハウ集が蔓延ってるのが原因かと。
Re: (スコア:0)
Windows のUACすら邪魔だという人が、SELinuxを扱えるわけがない。
Re: (スコア:0)
宗教上の理由でみんなTomoyo Linux使ってるからかもしれません。
Re: (スコア:0)
SElinuxの設計・設定費用っていくらくらい取れるんですかね?
Re: (スコア:0)
そんなもん「できてあたりまえ」だろ?0円だ0円
意図した通りの挙動なのか? ハングアップ (スコア:0)
config conflict発生時の例外処理をサボってるだけな気が
エラーメッセージ (スコア:0)
SELinuxもエラー時にPermission deniedみたいな非特異的なメッセージしか出さないのが面倒くさがられる一番の理由かと思う。
忘れたころにでてきて「どうしても動かない。もしや?」と思ってsetenforce 0すると動いて「またお前のせいかよ」と思われる。
固有のErrnoがないせいで非特異的なメッセージしか出ないわけだが、普通に「SELinux policy violation」みたいなエラーが出るようにしておけばまた状況は違っていたのではないだろうか。
# disabledにするとハングするのでpermissiveでお願いします。
Re:エラーメッセージ (スコア:1)
権限周りで、特異なメッセージ出しちゃいかんやろ。
権限無い場合は、なんの権限がないのかわからないように返すのはセキュリティ上の必須要素
Re: (スコア:0)
昔はIDとパスワードのどちらが無効か区別できるようなエラーメッセージにしてはいけないとか言われてたのにいつの間にかなかったことになってるの何なの?
Re:エラーメッセージ (スコア:1)
皆様この程度の理解度なのでSELinux無効化のほうがマシという事ですな…
Re: (スコア:0)
日本にSELinux理解してる人どれぐらいいるのかな
現実問題、SELinux有効化してって言われたらシステムが動くことをざっくり確認して結合・システムテストで問題箇所を洗い出そうってやり方しかない気がする
そして事あるごとにまたSELin(ry
Re: (スコア:0)
DockerとかでSELinux無しのrootで動かすのに慣れ切ってしまってる人が増えてそう
Re: (スコア:0)
RHELはもうDockerを使ってないが。
Re: (スコア:0)
大丈夫だよ、SELinux有効化したら全く動かなくなって、
やっぱ無しってなるまでが様式美。
Re: (スコア:0)
それはそのとおりだと思うけど、それがこのSELinuxへのヘイトを生み出し、
遂にはインストールしたら真っ先にdisabledにするっていう人々を生み出し、
諸々のインストールガイドの、SELinuxを無効にしろっていう記載を生み出してきたんだってことも認める必要があると思うんだよね。
結局使ってもらえないんじゃ、何の意味もないんじゃないの?
それは、「パスワードをn日ごとに変更しろ」っていうのと同じぐらい、現実を無視してるんじゃないの?
Re: (スコア:0)
> それはそのとおりだと思うけど、それがこのSELinuxへのヘイトを生み出し、
> 遂にはインストールしたら真っ先にdisabledにするっていう人々を生み出し、
いやそういう人は技術者としては不適格だから切り捨てるべきじゃないですかね?
Fool Proofでカバーする範囲じゃないと思います。
Re: (スコア:0)
Linuxが商業利用には不適格と切り捨てられる未来しか見えない。
Re: (スコア:0)
おらSELinux解からねぇバカだと思っていたども、プロの皆様も同じだったんだ。
Re: (スコア:0)
いやいや、その前に/var/log/audit/audit.logくらい読みましょう。
読むのが面倒ならaudit2allowに垂れ流しでもいいです(無効化するよりはずっとマシ)。
Re: (スコア:0)
ポリシーを一から作るのはなかなか良い日本語の資料がない上に、
ポリシーをコンパイルするのにツールがたくさん必要すぎて、そういう開発ツール入れたくない環境ではぐぬぬってなる
Re: (スコア:0)
ログ読むやつは無効化なんかしないんじゃないかな。
ログもマニュアルも読まない奴が管理やってること多い。
Optional Security is irrelevant! (スコア:0)
やはりTheoは正しかった。 [openbsd.org]
セキュリティパッチをあてることはNG (スコア:0)
ここからして既にダメだったんだがな…
まあイレギュラーな設計実装好きなトコは簡単に当てられないままかな?