元スレCentOS Part 32【RHEL Clone】

centos覧 / PC版 /

みんなの評価 :

前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ

/ 要望・削除依頼は掲示板へ / 管理情報はtwitterで

51 :

自己満自治乙

52 :

>>49
ホントかよｗ

53 :

SELinuxは檻の中の足枷

>>44
httpd乗っ取られてDBのデータごっそりいかれる事は少なからず難しくなるだろ
ミソもクソも同じディレクトリで同じポリシーてなら別だが

59 = 44 :

>>53
httpd乗っ取るよりも、DBからデータを取り出す方が簡単なことが多いんだよ（特に最近多い）

不特定多数の人にリモートアクセスをサービスしているサーバとかあるなら別だが
外からアクセス出来るサービスは最低限にしておいて（80番ポートのみとか）
DBから距離（いろいろな意味でね）をおいておくと
なんかあった時も少しはましだからね。

63 :

これだけ嫌われてるってことは仕組みそのものがクソってことだよ
と俺は自分を納得させてる

64 = 12 :

手間と効果をはかりにかけて、イラネって事だ…

65 :

普通にポリシー書いてコンパイルして運用してるけどなSELinux。もうすぐstrictで運用するつもり。

なんかあったら、ログみてポリシー書いて動くまでログとにらめっこしたり、新たなタイプ宣言したりとか。

68 :

>>65
その作業のコストに見合う見返りってある？
同じセキュリティの向上にコストを割くなら、Webアプリのセキュリティホールの精査とかをやったほうが効果がはるかに大きいと思う。

70 :

>>68
別人だけど、結局リスクに対してどれだけコストかけれるかって事じゃない？もしくは投資しなければならないか。

アプリの脆弱性だけが攻撃の糸口とは限らないしね。

71 :

コストが掛かるから使わないってノーガード戦法じゃないの?

72 :

「コストが掛かるから使わない」とは言ってなくね?

74 :

外から見えないところに置くからノーガードでいいべと思って
SELinux - disabled
iptables - stop
で作ったテスト用環境が、なぜか外から丸見えなところに放置
んで、当然のごとく攻撃されてあっさり陥落

なので、デーモンの特権落としたくらいじゃセキュリティ的にはあんまし意味ないでよ
まあsh上げられなきゃ外に迷惑かけることはないと思うが