Hiroki Ishikawa
ishik****@gmail*****
2012年 3月 9日 (金) 17:59:59 JST
石川です。 2/3通目 です。 ---------- 転送メッセージ ---------- From: 大岡 純 <j.ook****@cci*****> 日付: 2012年3月8日7:09 件名: Re: [jsosug:00172] 【質問】SElinuxのユーザにつきまして To: Hiroki Ishikawa <ishik****@gmail*****> 石川さん 大岡です。たびたびありがとうございます。 すみません。起動方法としては、どちらも /etc/init.d/named start で起動しています。 起動スクリプト内部で、下記を実行している形になります。 /usr/sbin/named -u named -t /var/named/chroot いろいろ調べた結果、一般ユーザからsu - もしくは sudo su - でroot になった後で起動スクリプトを叩くと user_uになり、コンソールからrootでログインした後に 起動スクリプトを叩くと、rootで起動するようでした。 前に教えて頂きましたように、プロセスは 起動したユーザの権限を引き継ぐということから 正しい動きだったのかと思いますが、rootユーザへの 昇格の仕方でも変わってくる形でしょうか。 よろしくお願いします。 On Thu, 8 Mar 2012 01:08:04 +0900 Hiroki Ishikawa <ishik****@gmail*****> wrote: > 大岡さん > > 石川です。 > > > 他で同じように構築したDNSサーバは、プロセスが > > root:system_r:named_tで起動しているので、SELinuxの設定に > > 違いがあるのかと思い、質問した形になります。 > > 2つの違いは起動スクリプトを使用しているかそうでないかです。 > 同じように構築をしているのだとは思いますが、起動方法が異なります。 > 起動スクリプトを使用しないのには理由があるのでしょうか。 > > ちなみに、SELinux のユーザ設定は特に関係ありません。 > > > > user_uの権限になるほうが正しいのでしょうか。 > > その手順で実行した場合は user_u になることが正しいですが、 > システム的には正しくないように思えます。 > > > 2012年3月7日9:28 大岡 純 <j.ook****@cci*****>: > > 石川さん > > > > 大岡です。 > > 教えていただき、ありがとうございます。 > > いろいろ説明不足で申し訳ありません。 > > > > 下記のコマンドでnamedを実行しています。 > > /usr/sbin/named -u named -t /var/named/chroot > > > > # id named > > uid=25(named) gid=25(named) 所属グループ=25(named) context=user_u:system_r:unconfined_t > > > > yumで入れたrpmのbindをそのまま使っている形になります。 > > > > 他で同じように構築したDNSサーバは、プロセスが > > root:system_r:named_tで起動しているので、SELinuxの設定に > > 違いがあるのかと思い、質問した形になります。 > > > > 起動したプロセスは起動したユーザの権限を引き継ぐことは > > 理解しているのですが、namedユーザで起動させていることから > > user_uの権限になるほうが正しいのでしょうか。 > > > > よろしくお願いします。 > > > > > > On Tue, 6 Mar 2012 22:50:51 +0900 > > Hiroki Ishikawa <ishik****@gmail*****> wrote: > > > >> 大岡さん > >> > >> 石川と申します。 > >> > >> > user_u:system_r:named_t > >> user_u を持った一般ユーザからプロセスを起動しているように見えます。 > >> sudo /etc/init.d/named start をしていませんか? > >> > >> ※ 起動したプロセスは起動したユーザの権限を引き継ぎます。 > >> > >> > >> > root:system_r:named_t > >> > >> と、したいのであれば root ユーザで > >> /etc/init.d/named start をしてやれば目的のユーザで起動をします。 > >> > >> > >> ただし、通常、named のようなデーモンは init プロセスから > >> 起動され ユーザには system_u を持ちます。 > >> システム管理者が手動で init スクリプトを起動する場合には > >> init プロセスから見せかける必要があります。 > >> > >> run_init(8) を使用することでそれが可能になります。 > >> run_init /etc/init.d/named start > >> > >> > >> ではでは。 > >> > >> > >> 2012年3月6日21:42 大岡 純 <j.ook****@cci*****>: > >> > はじめまして > >> > > >> > 大岡と申します。 > >> > > >> > SELinuxのユーザ設定について、質問したく > >> > ご連絡しました。 > >> > > >> > namedを動かしているのですが、プロセスのラベルが > >> > 下記になってしまっています。 > >> > > >> > user_u:system_r:named_t > >> > > >> > 私としては、下記にしたいのですが、どの設定を > >> > 確認したらいいでしょうか。 > >> > > >> > root:system_r:named_t > >> > > >> > semanage login -l の結果は、下記となっています。 > >> > Login Name SELinux User MLS/MCS Range > >> > > >> > __default__ user_u s0 > >> > root root SystemLow-SystemHigh > >> > > >> > ご教授頂ければと思います。 > >> > よろしくお願いします。 > >> > > >> > _______________________________________________ > >> > Japan secure operating system users group > >> > users****@secur***** > >> > http://lists.sourceforge.jp/mailman/listinfo/jsosug-users > >> > >> > >> > >> -- > >> Hiroki Ishikawa <ishik****@gmail*****> > > > > > > -- > Hiroki Ishikawa <ishik****@gmail*****> ********************************************* 株式会社 サイバー・コミュニケーションズ ADJUST事業本部 システム開発本部 ADJUST開発部 兼 広告技術部 大岡 純(Jun Ooka) E-mail:j.ook****@cci***** 〒105-0021 東京都港区東新橋2-14-1 コモディオ汐留8F TEL:03-5405-4510 FAX:03-5425-6110 ************************************************** -- Hiroki Ishikawa <ishik****@gmail*****>
