SELinux は apache ユーザーに /etc/passwd ファイルの読み取りを許可しますか?

Question

最初のコメントを繰り返します:

原則として、/etc/passwd機密情報とは見なされません。この情報は、たとえばアプリケーションが UID 番号を検索したり、人間が理解しやすいユーザー名を表示したりするために必要です。

2番目の考慮事項:

カスタムアプリケーション/デーモン用にカスタム SELinux コンテキストを作成しない限り、特定の保護/制限が適用されて実行されることはありません。(事実上、従来のファイルシステム権限のみがアクセスを拒否します。)

実行中のデーモンの現在のSELinuxコンテキストは、オプションで確認できます-Z。ps表示される内容はデーモンの起動方法によって多少異なりますが、例:

ps -efZ | grep mydaemon

system_u:system_r:unconfined_service_t:s0 root 4117    1  0 16:56 ?        00:00:00 /usr/local/bin/mydaemon

表示されunconfined_service_t、それは制限なし、SELinux ポリシーなしを意味します。

のRed Hat SELinux マニュアルこのようなカスタム SELinux ポリシーを作成する方法を簡単に紹介します。

カスタムポリシーを生成します。
sepolicy generate --init /usr/local/bin/mydaemon
セットアップスクリプトを使用して、新しいポリシーモジュールでシステムポリシーを再構築します。
cd /home/example.user/mysepol ; ./mydaemon.sh
restorecon コマンドを使用して、ファイルシステムの対応する部分に再ラベルを付けます。 restorecon -v /usr/local/bin/mydaemon /usr/lib/systemd/system
デーモンを再起動し、SELinuxによって制限された状態で実行されることを確認します。
これで、SELinux の拒否/エラーが表示されるはずです。

Answer 1

最初のコメントを繰り返します:

原則として、/etc/passwd機密情報とは見なされません。この情報は、たとえばアプリケーションが UID 番号を検索したり、人間が理解しやすいユーザー名を表示したりするために必要です。

2番目の考慮事項:

カスタムアプリケーション/デーモン用にカスタム SELinux コンテキストを作成しない限り、特定の保護/制限が適用されて実行されることはありません。(事実上、従来のファイルシステム権限のみがアクセスを拒否します。)

実行中のデーモンの現在のSELinuxコンテキストは、オプションで確認できます-Z。ps表示される内容はデーモンの起動方法によって多少異なりますが、例:

ps -efZ | grep mydaemon

system_u:system_r:unconfined_service_t:s0 root 4117    1  0 16:56 ?        00:00:00 /usr/local/bin/mydaemon

表示されunconfined_service_t、それは制限なし、SELinux ポリシーなしを意味します。

のRed Hat SELinux マニュアルこのようなカスタム SELinux ポリシーを作成する方法を簡単に紹介します。

カスタムポリシーを生成します。
sepolicy generate --init /usr/local/bin/mydaemon
セットアップスクリプトを使用して、新しいポリシーモジュールでシステムポリシーを再構築します。
cd /home/example.user/mysepol ; ./mydaemon.sh
restorecon コマンドを使用して、ファイルシステムの対応する部分に再ラベルを付けます。 restorecon -v /usr/local/bin/mydaemon /usr/lib/systemd/system
デーモンを再起動し、SELinuxによって制限された状態で実行されることを確認します。
これで、SELinux の拒否/エラーが表示されるはずです。

関連情報