例えば httpd の CGI 実行可否を設定しているパラメータは httpd_enable_cgi である。
# getsebool httpd_enable_cgi httpd_enable_cgi --> on # setsebool httpd_enable_cgi 0 # getsebool httpd_enable_cgi httpd_enable_cgi --> offhttpd_enable_cgi を禁止すると /var/log/audit/audit.log に CGI 実行できなかったことが保存される。
type=AVC msg=audit(1289629357.378:26529): avc: denied { getattr } for pid=1640 comm="httpd" path="/var/www/cgi-bin/python/test00.cgi" dev=dm-0 ino=22608 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:httpd_sys_script_exec_t:s0 tclass=file
boolean パラメータ一覧は getsebool -a で表示できる。
[root@fedora ~]# getsebool -a abrt_anon_write --> off allow_console_login --> off allow_cvs_read_shadow --> off allow_daemons_dump_core --> on allow_daemons_use_tty --> off allow_domain_fd_use --> on allow_execheap --> off allow_execmem --> on allow_execmod --> off allow_execstack --> on (以下略)
0 件のコメント:
コメントを投稿