パスワードを忘れた? アカウント作成
15604974 story
バグ

RHEL9からSELinuxの無効化の仕様が変更される 42

ストーリー by nagazou
変更 部門より
あるAnonymous Coward 曰く、

日本のSier業界では除け者にされているSELinuxであるが、絶対SELinux無効にするなの人のブログによるとRHEL9におけるSELinuxが変更されるそうだ(security.sios.com)。/etc/selinux/configのSELINUX=enforcingをdisabledにして再起動を行うとブート中にシステムがハングアップするとのこと。対策としてはbootパラメータで"selinux=0"をつけると回避はできるが、RedHat側としては推奨していない。

業務影響のリスクでセキュリティパッチをあてることはNGとされていたのが近年見直されたように(今でもご法度のところはいるが)いずれSELinuxの無効化も許されなくなる時代になるのかもしれない。

  • SELinux有効(Enforcing)の状態で正常に動くことを、パッケージソフトが「RHEL○対応」と謳うための条件にすればよい
    市場シェアを失いかねない博打かもしれないけど
    #海外は本当にSELinux有効が当たり前になっているんだろうか?

    ここに返信
  • by Anonymous Coward on 2022年03月24日 9時32分 (#4220569)

    タレコミ主はもとの記事をちゃんと読んで。「RedHat側としては推奨していない。」ってリンクしてるのRHEL7のドキュメントだし、
    元記事にも(その元のFedora Wikiにも)「/etc/selinux/configによる無効化(disabled)は現時点では非推奨」って書いてるよ。

    ここに返信
    • by Anonymous Coward

      どーせ元リンクなんて見るやついないだろうと思ったので古いのを出した。すまんな。
      なおこの件を追求するとまったく編集してない編集nagazouが血祭りにあげられる。
      めんどくさいのか忙しいのか知らんが時折未編集で採用されるときがある。

  • by Anonymous Coward on 2022年03月23日 14時02分 (#4220093)

    きちんと権限設計して設定しろってことだな。

    ここに返信
  • by Anonymous Coward on 2022年03月23日 14時16分 (#4220106)

    そうなんですか? なんででしょう?

    ここに返信
    • by Anonymous Coward

      調べてみましたがよくわかりませんでした。
      いかがでしたか。

    • by Anonymous Coward

      わざわざSELinux無効化するようなのはクソSIerだけだよ

    • by Anonymous Coward

      わからないでしょう?それが理由です。

    • by Anonymous Coward

      とあるパッケージではインストールガイドで無効にしろって書いてあったな

      • by Anonymous Coward

        「インストールガイド /etc/selinux/config」でググると、色々な大手ベンダのインストールガイドで無効化が指示されていますね。

    • by Anonymous Coward

      みんなDebian系列を使っているからとか?DebianのMACはAppArmorが標準で、SELinuxとは同時に(まだ)使えなかったはず。

      TOMOYOはいつからか他のMACと組み合わせられるようになってた。うれしい

    • by Anonymous Coward

      不安定だから。本記事のケース以外でもハングアップする場合が多々ある。

    • by Anonymous Coward

      日本だけではありません。Amazon Linux なんかも default は disabled です。

    • by Anonymous Coward

      ただの怠慢。
      秘伝のタレの伝承くらいしか能がないSIerって奴らはLinuxブームが起きたRedHat6あたりで思考停止してやがるので。

      っつかSELinuxさえ有効になってれば少々の脆弱性で攻撃受けても被害には繋がらないので、
      毎日セキュリティパッチを探す不毛な仕事からかなり開放されるんだけどな。
      まぁ「毎日パッチ情報集めてExcelにして提出するだけの簡単なお仕事」を失わないための防衛かもしれんが。

      • by Anonymous Coward

        毎日パッチ情報集めるのはどんな環境でも必須だろ…本気で言ってるのか…。

  • by Anonymous Coward on 2022年03月23日 14時23分 (#4220111)

    ハングアップはやめてくれ。
    ことあるごとに警告メッセージを出すとか、そういう方向にしてくれ。

    ここに返信
    • by Anonymous Coward

      ハングアップはやめてくれ。

      ハングるのは「再発防止策:SELinuxを有効にする」と書かせるための日本向けローカライズじゃね?

  • by Anonymous Coward on 2022年03月23日 14時43分 (#4220127)

    日本のSier業界では除け者にされているSELinuxであるが

    きちんと権限設定や運用設計できないから日本のSIerが逃げていた、の間違いでは?

    ここに返信
    • by Anonymous Coward

      設定や設計どころか「とりあえず黙って無効化しとけ」的な社内ノウハウ集が蔓延ってるのが原因かと。

    • by Anonymous Coward

      Windows のUACすら邪魔だという人が、SELinuxを扱えるわけがない。

    • by Anonymous Coward

      宗教上の理由でみんなTomoyo Linux使ってるからかもしれません。

    • by Anonymous Coward

      SElinuxの設計・設定費用っていくらくらい取れるんですかね?

      • by Anonymous Coward

        そんなもん「できてあたりまえ」だろ?0円だ0円

  • by Anonymous Coward on 2022年03月23日 14時53分 (#4220136)

    config conflict発生時の例外処理をサボってるだけな気が

    ここに返信
  • by Anonymous Coward on 2022年03月23日 16時09分 (#4220214)

    SELinuxもエラー時にPermission deniedみたいな非特異的なメッセージしか出さないのが面倒くさがられる一番の理由かと思う。
    忘れたころにでてきて「どうしても動かない。もしや?」と思ってsetenforce 0すると動いて「またお前のせいかよ」と思われる。
    固有のErrnoがないせいで非特異的なメッセージしか出ないわけだが、普通に「SELinux policy violation」みたいなエラーが出るようにしておけばまた状況は違っていたのではないだろうか。

    # disabledにするとハングするのでpermissiveでお願いします。

    ここに返信
    • by Anonymous Coward on 2022年03月23日 17時37分 (#4220278)

      権限周りで、特異なメッセージ出しちゃいかんやろ。
      権限無い場合は、なんの権限がないのかわからないように返すのはセキュリティ上の必須要素

      • by Anonymous Coward

        昔はIDとパスワードのどちらが無効か区別できるようなエラーメッセージにしてはいけないとか言われてたのにいつの間にかなかったことになってるの何なの?

        • by Anonymous Coward on 2022年03月23日 18時22分 (#4220315)

          皆様この程度の理解度なのでSELinux無効化のほうがマシという事ですな…

          • by Anonymous Coward

            日本にSELinux理解してる人どれぐらいいるのかな
            現実問題、SELinux有効化してって言われたらシステムが動くことをざっくり確認して結合・システムテストで問題箇所を洗い出そうってやり方しかない気がする

            そして事あるごとにまたSELin(ry

            • by Anonymous Coward

              DockerとかでSELinux無しのrootで動かすのに慣れ切ってしまってる人が増えてそう

              • by Anonymous Coward

                RHELはもうDockerを使ってないが。

            • by Anonymous Coward

              大丈夫だよ、SELinux有効化したら全く動かなくなって、
              やっぱ無しってなるまでが様式美。

      • by Anonymous Coward

        それはそのとおりだと思うけど、それがこのSELinuxへのヘイトを生み出し、
        遂にはインストールしたら真っ先にdisabledにするっていう人々を生み出し、
        諸々のインストールガイドの、SELinuxを無効にしろっていう記載を生み出してきたんだってことも認める必要があると思うんだよね。

        結局使ってもらえないんじゃ、何の意味もないんじゃないの?
        それは、「パスワードをn日ごとに変更しろ」っていうのと同じぐらい、現実を無視してるんじゃないの?

        • by Anonymous Coward

          > それはそのとおりだと思うけど、それがこのSELinuxへのヘイトを生み出し、
          > 遂にはインストールしたら真っ先にdisabledにするっていう人々を生み出し、
           
          いやそういう人は技術者としては不適格だから切り捨てるべきじゃないですかね?
          Fool Proofでカバーする範囲じゃないと思います。

          • by Anonymous Coward

            Linuxが商業利用には不適格と切り捨てられる未来しか見えない。

        • by Anonymous Coward

          おらSELinux解からねぇバカだと思っていたども、プロの皆様も同じだったんだ。

    • by Anonymous Coward

      いやいや、その前に/var/log/audit/audit.logくらい読みましょう。
      読むのが面倒ならaudit2allowに垂れ流しでもいいです(無効化するよりはずっとマシ)。

      • by Anonymous Coward

        ポリシーを一から作るのはなかなか良い日本語の資料がない上に、
        ポリシーをコンパイルするのにツールがたくさん必要すぎて、そういう開発ツール入れたくない環境ではぐぬぬってなる

      • by Anonymous Coward

        ログ読むやつは無効化なんかしないんじゃないかな。
        ログもマニュアルも読まない奴が管理やってること多い。

  • by Anonymous Coward on 2022年03月23日 23時27分 (#4220446)
    ここに返信
  • by Anonymous Coward on 2022年03月24日 1時57分 (#4220478)

    ここからして既にダメだったんだがな…
    まあイレギュラーな設計実装好きなトコは簡単に当てられないままかな?

    ここに返信
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...