_ 続、FC4 で cron が動かない
6. Security-Aware Applications
SELinuxには、強制アクセス制御を認識するように修正されたデーモンおよび新規・修正されたユーティリティを含んでいる。
これらのデーモンおよびユーティリティのいくつかは、ポリシーに関連した独自のアプリケーションコンフィギュレーションファイルを必要とする。
この章ではこれらセキュリティに対応したアプリケーションおよびそれらのコンフィギュレーションファイルについて記述する。
6.1. Modified Daemons
SELinuxは、login、sshdおよびcrondの三つの修正されたデーモンプログラムを含んでいる。
各デーモンは、ユーザプロセス用に適切なセキュリティコンテキストに遷移するように修正された。
ユーザセッションまたはcronジョブのための適切なセキュリティコンテキストは、6.4章で説明したように
セキュリティポリシーとデフォルトコンフィギュレーションファイルの組み合わせを基に決定される。
:
crondデーモンは、ユーザプロセスコンテキストとcrontabファイルのコンテキスト間の
entrypointパーミッションチェックを実行するようにさらに修正された。
もしcrontabファイルがコンフィギュレーションファイルでなく実行可能なスクリプトであれば、このチェックはカーネルによって実行される。
crondは直接crontabファイルを実行しないので、このチェックはユーザプロセスコンテキストは
crontabファイルからのコマンドをとおして入ることができるかの検証をデーモンによって実行される。
作成しようとしているユーザのドメインを基に分類されたcrontabファイルを保証するために、crontabプログラムのためのドメインが定義されている。
パーミッションチェックは、たとえユーザがスーパユーザ権限を取得したとしても、
他ユーザのcrontabファイルに不法に手を加えることにより認可されていないユーザのためにセキュリティコンテキストによって
実行されるコマンドが引き起こすことができる危険を減少されるように意図されている。
from
Configuring the SELinux Policy
SELinux の効果によって、crond の設定は、
今までみたいにはいかないよ、といっているらしい。
強制的な対策 : FedoraCore1 の SELinux 非対応ぱけじ vixie-cron-3.0.1-76.src.rpm に入れ替える。(ぉ
_ [D] まったく、どいつもこいつも...
車体からオーラ放ちやがって!
勝てる訳ねーだろ < 頭文字D アーケード
MR-2 で、がんばってきたが そろそろ限界が見えてきたな。
次の車を投入するか。