アカウント名:
パスワード:
一受託業者が決めるべき問題じゃないね。そのシステムのセキュリティポリシに従って決まる。
より良いシステムになるよう助言はした方がよいと思うけどね。
ところで、これって、サーバ(やクライアント)毎のパーソナルファイアウォールの話だよね。設定できるなら、設定した方がいいとは思うね。しかし、ネットワークで適切に守られていれば、それで十分と言う考え方もある。それこそセキュリティポリシだ。
パーソナルファイアウォールと同様の問題で、SELinuxをどうするか、って話はあるよね。SELinuxを無効にしてるのをよく見るけど…
具体例として取り上げて申し訳ないんだけど「Hinemos」がまさにそうで、開発元となったNTTデータの説明でしっかりと「SELinuxを無効化します。」と書いてある。SELinux有効では動作しないのか、それとも手順書上そうなってるだけなのか、検証した人はいないのだろうか。
単に、SELinuxを設定するノウハウが無いとか、NTTにはあってもユーザにはなくて、サポート経費を考えると、そうせざるを得ない、とか。
まぁ手抜きだよね。適切なポリシーと一緒に配置すれば動作しないわけがない。
ただ、ファイルパスとかもポリシーに入っているわけで、標準と違うパスにファイル配置したければポリシーだのラベルだの調整しなければいけない。それを説明するのが面倒だから無効にしないと動かないと言ってるだけだ。(本一冊になるようなことをただで教えろと言われるし)
ちょっと書き忘れた。
たいていの場合、ドキュメントレベルではSELinuxサポートしません!と書いてあっても中にポリシーファイルついてるのでは。サクっとコンパイルしていれときゃ問題ない。
あー、もう一つおもいだした
>SELinux有効では動作しないのか、それとも手順書上そうなってるだけなのか、検証した人はいないのだろうか。
こんなもの、聞くまでもなく自分でためしゃいいじゃねぇか、っていうのもコメントつかないほどSELinuxって使い方だれも知らないのな。
permissiveモードで起動するように設定して動かすとポリシー違反があったことが報告されるけどプロセスの動作はブロックされない。そうやって、AVC(違反報告)を集めてポリシーを作る。ただ、一から作るのは結構大変だし、全部網羅したという確証もないのでパッケージについてるのがないか探すのが吉。
#SELinuxは初めて有効になったときファイルにラベルというものを付けるので起動に時間かかるよ。
それを開発元が検証した上でドキュメントを作ればよかったんじゃないかな。なんで手抜きにしちゃったんだろう。オープンソースなんで自分で好きにやれってのは分かるんですがね。
>ただ、ファイルパスとかもポリシーに入っているわけで、標準と違うパスにファイル配置したければポリシーだのラベルだの>調整しなければいけない。
これに尽きると思う。たとえばログファイルのディレクトリ変えました、とか、リッスンするポート番号変えました、といったものでも(たとえ設定者は大したことではないと思っていても)SELinuxにとっては重大なポリシー違反なのでそのプロセスは動きません。
変に動きますというと、自分で設定いじった癖に”うごかねーじゃねぇえか”、というウマシカ君たちが騒ぐので放っておくしかない。そんな奴らの相手をするくらいなら”デフォでオフでしょJK”とか言わせておく方がいい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
セキュリティポリシ次第 (スコア:5, 興味深い)
一受託業者が決めるべき問題じゃないね。
そのシステムのセキュリティポリシに従って決まる。
より良いシステムになるよう助言はした方がよいと思うけどね。
ところで、これって、サーバ(やクライアント)毎のパーソナルファイアウォールの話だよね。
設定できるなら、設定した方がいいとは思うね。
しかし、ネットワークで適切に守られていれば、それで十分と言う考え方もある。
それこそセキュリティポリシだ。
パーソナルファイアウォールと同様の問題で、SELinuxをどうするか、って話はあるよね。
SELinuxを無効にしてるのをよく見るけど…
Re:セキュリティポリシ次第 (スコア:3, 興味深い)
具体例として取り上げて申し訳ないんだけど「Hinemos」がまさにそうで、開発元となったNTTデータの説明でしっかりと「SELinuxを無効化します。」と書いてある。
SELinux有効では動作しないのか、それとも手順書上そうなってるだけなのか、検証した人はいないのだろうか。
Re:セキュリティポリシ次第 (スコア:1)
単に、SELinuxを設定するノウハウが無いとか、NTTにはあってもユーザにはなくて、サポート経費を考えると、そうせざるを得ない、とか。
Re: (スコア:0)
まぁ手抜きだよね。
適切なポリシーと一緒に配置すれば動作しないわけがない。
ただ、ファイルパスとかもポリシーに入っているわけで、標準と違うパスにファイル配置したければポリシーだのラベルだの
調整しなければいけない。
それを説明するのが面倒だから無効にしないと動かないと言ってるだけだ。(本一冊になるようなことをただで教えろと言われるし)
Re: (スコア:0)
ちょっと書き忘れた。
たいていの場合、ドキュメントレベルではSELinuxサポートしません!と書いてあっても中にポリシーファイルついてるのでは。
サクっとコンパイルしていれときゃ問題ない。
Re: (スコア:0)
あー、もう一つおもいだした
>SELinux有効では動作しないのか、それとも手順書上そうなってるだけなのか、検証した人はいないのだろうか。
こんなもの、聞くまでもなく自分でためしゃいいじゃねぇか、っていうのもコメントつかないほどSELinuxって使い方だれも知らないのな。
permissiveモードで起動するように設定して動かすとポリシー違反があったことが報告されるけどプロセスの動作はブロックされない。
そうやって、AVC(違反報告)を集めてポリシーを作る。
ただ、一から作るのは結構大変だし、全部網羅したという確証もないのでパッケージについてるのがないか探すのが吉。
#SELinuxは初めて有効になったときファイルにラベルというものを付けるので起動に時間かかるよ。
Re:セキュリティポリシ次第 (スコア:1)
それを開発元が検証した上でドキュメントを作ればよかったんじゃないかな。なんで手抜きにしちゃったんだろう。
オープンソースなんで自分で好きにやれってのは分かるんですがね。
Re: (スコア:0)
>ただ、ファイルパスとかもポリシーに入っているわけで、標準と違うパスにファイル配置したければポリシーだのラベルだの
>調整しなければいけない。
これに尽きると思う。たとえばログファイルのディレクトリ変えました、とか、リッスンするポート番号変えました、といったものでも
(たとえ設定者は大したことではないと思っていても)SELinuxにとっては重大なポリシー違反なのでそのプロセスは動きません。
変に動きますというと、自分で設定いじった癖に”うごかねーじゃねぇえか”、というウマシカ君たちが騒ぐので放っておくしかない。
そんな奴らの相手をするくらいなら”デフォでオフでしょJK”とか言わせておく方がいい。
Re: (スコア:0)