0952login:Penguin2017/12/29(金) 12:23:54.75ID:EQ7klX2+
SELinux使わないことで、技術力が低いと言われても気にならないレベルでSELinux使いたくないわ・・
Permissiveで引っかかったとこから許可するようにしてた事もあったけど結局漏れがでてしまった
0953login:Penguin2017/12/29(金) 12:27:04.47ID:EQ7klX2+
SystemdとFirewalldは使ってる
0954login:Penguin2017/12/29(金) 12:34:03.03ID:S/CsVkMC
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
X34PK9UZFX
0955login:Penguin2017/12/29(金) 12:38:00.34ID:EQ7klX2+
とある会社に入るのに経験の浅い言語を必要とされたら勉強しようって思うけど、それがSELinuxだったら、その会社はいいやってなるレベルでSELinux使いたくない
0956login:Penguin2017/12/29(金) 12:46:21.57ID:EQ7klX2+
SELinux使わないと〇〇が不幸に合いますってなったら、割と近しい人がでてくるまで使いたくない
0957login:Penguin2017/12/29(金) 13:41:05.34ID:cOePM1W/
4連投するど使いたくないって事はわかった。使わなくていい。誰も困らない。
>>947 setenforce 0 でpermissive モードにしたけど変わらず。
前の方は省略してるけどcatalina.outはこんな感じで止まっている
Server version: Apache Tomcat/8.5.24
Server built: Nov 27 2017 13:05:30 UTC
Server number: 8.5.24.0
OS Name: Linux
OS Version: 3.10.0-693.11.1.el7.x86_64
Architecture: amd64
Java Home: /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre
JVM Version: 1.8.0_151-b12
JVM Vendor: Oracle Corporation
CATALINA_BASE: /usr/local/apache-tomcat-8.5.24
CATALINA_HOME: /usr/local/apache-tomcat-8.5.24
Command line argument: -Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties
Command line argument: -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager
Command line argument: -Djdk.tls.ephemeralDHKeySize=2048
Command line argument: -Djava.protocol.handler.pkgs=org.apache.catalina.webresources
Command line argument: -Xms1024m
Command line argument: -Xmx1024m
Command line argument: -XX:NewSize=256m
Command line argument: -Xloggc:/usr/local/tomcat/logs/tomcat-gc.log
Command line argument: -XX:+PrintGCDetails
Command line argument: -Djava.net.preferIPv4Stack=true
Command line argument: -Dignore.endorsed.dirs=
Command line argument: -Dcatalina.base=/usr/local/tomcat
Command line argument: -Dcatalina.home=/usr/local/tomcat
Command line argument: -Djava.io.tmpdir=/usr/local/tomcat/temp
Initializing ProtocolHandler ["http-nio-80"]
Using a shared selector for servlet write/read
Initialization processed in 553 ms
サービス [Catalina] を起動します
Starting Servlet Engine: Apache Tomcat/8.5.24 直接起動の場合はこの後に(長すぎるので途中に改行を入れてるけど)
28-Dec-2017 23:47:03.830 情報 [localhost-startStop-1]
org.apache.jasper.servlet.TldScanner.scanJars At least one JAR was scanned for TLDs yet contained no TLDs.
Enable debug logging for this logger for a complete list of JARs that were scanned but no TLDs were found in them.
Skipping unneeded JARs during scanning can improve startup time and JSP compilation time.
28-Dec-2017 23:47:03.860 重大 [localhost-startStop-1]
org.apache.catalina.session.PersistentManagerBase.startInternal No Store configured, persistence disabled
☆☆INIT実行☆☆
と続く、TLDのサーチでループしてるような気もする。 これの修正の仕方が良くわからない
>>958
> Command line argument: -Dignore.endorsed.dirs=
こんなパラメータあるんですかね。java.endorsed.dirsではない?
値の指定は不要なのかな? webappsの下のユーザ用パスを別名にしてみたら正常起動した。
ユーザ用の中身はweb.xml以外は古いままだからエラーが多すぎて悲鳴を上げてるんだろうな。
お騒がせしました、地道に追いかけてみます。
selinixの本質はプロセスの実行ドメインを分離してお互い関与できないようにしましょうだから、分かりにくけりゃサービス毎にVM立てりゃオッケー
SELinuxって、テストが難しいのだよね
自分らが動かしているプロセスが、どのような操作をどこに対して行うかを
見極めなけりゃ設定できないが、それは結局Permissiveのログみて一つ一つ
エラーを潰していくという作業にしかならないし、本番系で発生する挙動のすべて、
たとえばあらゆるエラーログやコアダンプ出力等までテスト環境で網羅させられるのか、
それをSELinuxに反映できるかっつーと、できない
自分らが作ったアプリならまだしも、CentOS同梱パッケージなんて
ひとつひとつ見ていくことなんてできやしないうえに、同梱パッケージだって
SELinux下で使うためにはあちこちコンテキスト弄らなけりゃならないからね
素晴らしい理想のもとに作られてるのだろうが、それが使いづらけりゃ価値ねえよ
0964login:Penguin2017/12/29(金) 22:27:43.07ID:cOePM1W/
selinux使ってるのかな。同梱パッケージってcentosリポジトリにあるパッケージだよね。
同梱パッケージをデフォルトの設定で使う限りselinuxいじらないと動かないのって今まで出会った事ないけど。
具体的に、どのパッケージでどういう設定を入れる必要があった?
設定ファイルやログファイルの位置によっては
コンテキストがシステムの想定しているものと違うものになって
Denyになったりするけど,
その場合はallowルールを追加するんじゃなくて
ファイルのコンテキストの方を変更しなきゃ意味がないし
見極めが難しい
今年の3月に稼働させたシステムまだPermissiveのままだわ
0966login:Penguin2017/12/29(金) 23:08:56.25ID:cOePM1W/
具体的にどのパッケージのどのファイル?
例えばbindのログファイルを/var/log/bind/
以下に吐き出すようにしたら起動しなかったわ
この場所だとディフォルトのコンテキストは var_log_t
bindが書き込めるのは named_log_t なので
ログファイルを /var/log/named.* にするか,
semanage で /var/log/bind/ の標準コンテキストを
変えてやる必要があった
0968login:Penguin2017/12/29(金) 23:17:56.99ID:cOePM1W/
> 設定ファイルやログファイルの位置によっては
設定ファイルやログファイルの位置をデフォルトから変更した場合の話かな。
それならdenyになって当然だし、変更に合わせて設定を追加する必要あり。
0969login:Penguin2017/12/29(金) 23:20:33.36ID:cOePM1W/
>>967
あぁなる。でも、それ自分で変更してるわけだから、追加しなきゃなってわかるよね? 0971login:Penguin2017/12/30(土) 09:36:14.50ID:6IN8jBpr
>>957
>誰も困らない。
本当に誰も困りませんか? >>969
デフォルトの設定が使いやすく汎用的なもの揃ってるならその理屈でもいいだろうけど
logファイルなんて設定変えるのが当たり前の世界なんだから
使いにくいものであることに変わりはないんじゃないかね
ラベリング問題はApacheとかでもよく起きて相談される話なんだし 0973login:Penguin2017/12/30(土) 12:46:17.97ID:DitlnKlI
0974login:Penguin2017/12/30(土) 13:00:39.49ID:DitlnKlI
>>972
> 使いにくいものであることに変わりはない
もうその結論でおけ。 0975login:Penguin2018/01/03(水) 09:36:25.67ID:U9VieSS7
あけましてリブート。
本年も無停止でお願いします。
Centosじゃないけど今夏にDBサーバ50台の移行がある。
何事もありませんように。
>>976
RHELのを200クラスタ移行したことある
サーバの差異には細かいことにでも気を付けろ
あと、指定したサーバ群に対し同一コマンド発行するための土台をAnsibleで作ったよ そんなことよりMeltdownとSpectreの対応振ってきそうで憂鬱だ
kernelの更新が来たみたいだけど、
仮装鯖の場合は
当てていいものだろうか
モジュールとか追加で組み込んでないならいいんじゃね
0985login:Penguin2018/01/05(金) 18:57:54.29ID:jidI7g3M
ec2のCentOS7はupdateしたけど問題なかった
intelのCPUの脆弱性が話題になってるね、パッチはでたのかな
0992login:Penguin2018/01/08(月) 12:27:53.42ID:2TM4Nckh
>>988
5日には出てた。当てないで帰っちゃったのね。 10011001Over 1000Thread
このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 202日 16時間 11分 43秒
10021002Over 1000Thread
5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php