SELinux の fixfiles コマンドについて。このコマンドはセキュリティ条項データベースを更新してくれるらしいのですが、そのデータベースってどこにあるんでしょうか。よくわかっていないので仮説に過ぎませんが、各ファイルに属性が付与されている場合、その属性は rsync のアーカイブモードでコピーされるんでしょうか。とても疑問です。詳しい方(特にプロフェッショナル、エキスパートな方)、もしよろしければ教えて下さい。

回答の条件
  • 1人2回まで
  • 登録:2007/05/08 18:32:59
  • 終了:2007/05/15 18:35:03

回答(2件)

id:dev_zer0 No.1

dev_zer0回答回数332ベストアンサー獲得回数252007/05/08 20:12:27

ポイント35pt

http://www.itmedia.co.jp/enterprise/articles/0503/25/news080.htm...

ポリシーファイルは/etc/selinux/配下に存在します

なので、ファイルの属性としては持ってません


単純に考えて、ファイルの属性に持ってしまうとデータの可搬性がなくなる気がします。

SELinux同士ならそれでもいいかもしれませんが、他のUnixに転送ができなくなったり、

無理に可搬性を持たせるとSELnix用のrsyncやtar, ddが必要になってきそうです


よって、付加情報はファイルの属性ではなく、どこかで一元的に管理する必要がありますが、

それが上記URLに詳しく解説されています。

id:chimuyama

回答ありがとうございます。ポリシファイルの位置は知っています。それ以外の拡張属性(xattr)をSELinuxはファイルシステム(ext3とか)に保持させているのではないでしょうか。

http://opentechpress.jp/security/05/11/15/0220258.shtml

2007/05/08 22:27:57
id:dev_zer0 No.2

dev_zer0回答回数332ベストアンサー獲得回数252007/05/14 20:45:41

ポイント35pt

> それ以外の拡張属性(xattr)をSELinuxはファイルシステム

> (ext3とか)に保持させているのではないでしょうか。

その通りです。


http://www.jp.redhat.com/magazine/NO1/

> SELinuxのファイルまたはディレクトリのコンテキストは、

> 永続ファイルシステムではsecurity.selinuxという属性に

> 格納されます。

ということで、ファイルシステム内に保存されています。


http://fedora.jp/datapool/fedora-docs/selinux-faq-ja/index.html#...

そして、既存のtarでは拡張情報をアーカイブできない為、

starというバックアップコマンドを作成しました。


さて、本題である「rsync のアーカイブモードでコピーされるか?」

という質問に対しては、「バージョン2.6.9では無理」です。

その根拠はrsync2.6.9のソースを確認しましたが、拡張属性を操作するシステムコール

getxattr, lgetxattr, fgetxattrが全く使われていないからです。

http://www.linux.or.jp/JM/html/LDP_man-pages/man2/getxattr.2.htm...


tarがstarで拡張情報がサポートされたように、別のコマンドになるか

バージョンアップにより拡張情報をサポートするようにならないと

アーカイブモードではtarと同程度の情報しかコピーされません。

id:chimuyama

丁寧な回答をありがとうございます。

ちなみに dump/restore ではセキュリティコンテキスト情報はバックアップ、復元できました。SELinux が enforcing になっているシステムのバックアップを取るときは, dump/restore または star を使うのがよさそうです。

それらのアプローチではない方法としては、rsync による全ファイルコピーとMBR領域のdd出力の保存、sfdiskの出力保存、vgcfgbackup などでの LVM 構成の出力保存、ls -aZR / 出力の保存とchconを利用したセキュリティコンテキスト情報の復元用スクリプト(fixfiles relabel や touch /.autorelabel では元通りにならない)、これらを使う方法が考えられます。VMでやってみたところうまくいったのですが、実マシンではどうなるのか分かりません。

無難に star や dump/restore かなあと思います。どうもありがとうございます。

2007/05/14 22:48:00

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません