JH4XSYのLinux日記

長期休暇だったので、セキュリティモジュールをAppArmorからSELinuxへ移行したが、苦戦した。

今回の教訓

1. 素性の良いソフトを使い、標準ポリシーに任せる

• モダンなMTAとしてOpenSMTPDを使っていたが、SELinuxから激しくdenyされたので、 標準ポリシーとの親和性が高いPostfixに移行した。
• Webサーバは、httpd_tの枠組みの中で 各リソースに適切なラベルを貼り、最小権限を設定した。

2. Leapの作り込みが甘く、過度の期待は禁物

• freshclamが書き込む「ログへの書き込み権限」がなかった。
• clamdではユーザのホームディレクトリをスキャンしたら拒否された。

3. 対応してないソフトの保護は大変

• 標準ポリシーが存在しないため、プロセスドメインからデータ領域のラベルまで、副操縦士に相談しながらすべて手作業で定義した。
• 当初は一日に数百件ものアクセス拒否に対応することになり、心が折れそうになった。Auditログは難解で、解析を副操縦士に助けてもらった。

4. バックアップ時にはSELinuxラベルの保持を忘れずに

• Wikiの操作を間違えてtarファイルからリストアしたら、ラベルが変わってサービスがファイルを読めずエラーになった。

と個人が運用するサーバ管理には、SELinuxは導入ハードルが高すぎると思った。

それから、libapparmorのパッケージを削除するとphp-fpmが自動削除されるのでwiki利用者は注意が必要です。

本日の衛星: RS-44で交信。ArcticSat-1, UmKA-1のSSTVを受像。