パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ファイアウォールなしで重要なサーバーを運用するのは普通?」記事へのコメント

  • 一受託業者が決めるべき問題じゃないね。
    そのシステムのセキュリティポリシに従って決まる。

    より良いシステムになるよう助言はした方がよいと思うけどね。

    ところで、これって、サーバ(やクライアント)毎のパーソナルファイアウォールの話だよね。
    設定できるなら、設定した方がいいとは思うね。
    しかし、ネットワークで適切に守られていれば、それで十分と言う考え方もある。
    それこそセキュリティポリシだ。

    パーソナルファイアウォールと同様の問題で、SELinuxをどうするか、って話はあるよね。
    SELinuxを無効にしてるのをよく見るけど…

    • by Anonymous Coward on 2014年08月02日 23時07分 (#2649919)

      具体例として取り上げて申し訳ないんだけど「Hinemos」がまさにそうで、開発元となったNTTデータの説明でしっかりと「SELinuxを無効化します。」と書いてある。
      SELinux有効では動作しないのか、それとも手順書上そうなってるだけなのか、検証した人はいないのだろうか。

      親コメント
      • 単に、SELinuxを設定するノウハウが無いとか、NTTにはあってもユーザにはなくて、サポート経費を考えると、そうせざるを得ない、とか。

        親コメント
      • by Anonymous Coward

        まぁ手抜きだよね。
        適切なポリシーと一緒に配置すれば動作しないわけがない。

        ただ、ファイルパスとかもポリシーに入っているわけで、標準と違うパスにファイル配置したければポリシーだのラベルだの
        調整しなければいけない。
        それを説明するのが面倒だから無効にしないと動かないと言ってるだけだ。(本一冊になるようなことをただで教えろと言われるし)

        • by Anonymous Coward

          ちょっと書き忘れた。

          たいていの場合、ドキュメントレベルではSELinuxサポートしません!と書いてあっても中にポリシーファイルついてるのでは。
          サクっとコンパイルしていれときゃ問題ない。

          • by Anonymous Coward

            あー、もう一つおもいだした

            >SELinux有効では動作しないのか、それとも手順書上そうなってるだけなのか、検証した人はいないのだろうか。

            こんなもの、聞くまでもなく自分でためしゃいいじゃねぇか、っていうのもコメントつかないほどSELinuxって使い方だれも知らないのな。

            permissiveモードで起動するように設定して動かすとポリシー違反があったことが報告されるけどプロセスの動作はブロックされない。
            そうやって、AVC(違反報告)を集めてポリシーを作る。
            ただ、一から作るのは結構大変だし、全部網羅したという確証もないのでパッケージについてるのがないか探すのが吉。

            #SELinuxは初めて有効になったときファイルにラベルというものを付けるので起動に時間かかるよ。

            • by Anonymous Coward on 2014年08月04日 13時27分 (#2650508)

              それを開発元が検証した上でドキュメントを作ればよかったんじゃないかな。なんで手抜きにしちゃったんだろう。
              オープンソースなんで自分で好きにやれってのは分かるんですがね。

              親コメント
              • by Anonymous Coward

                >ただ、ファイルパスとかもポリシーに入っているわけで、標準と違うパスにファイル配置したければポリシーだのラベルだの
                >調整しなければいけない。

                これに尽きると思う。たとえばログファイルのディレクトリ変えました、とか、リッスンするポート番号変えました、といったものでも
                (たとえ設定者は大したことではないと思っていても)SELinuxにとっては重大なポリシー違反なのでそのプロセスは動きません。

                変に動きますというと、自分で設定いじった癖に”うごかねーじゃねぇえか”、というウマシカ君たちが騒ぐので放っておくしかない。
                そんな奴らの相手をするくらいなら”デフォでオフでしょJK”とか言わせておく方がいい。

      • by Anonymous Coward
        TOMOYOLinuxがあるもんってわけでもないんだろうなあ

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...