Я хочу защитить сервер приложений RedHat 5.4 с помощью SELinux (целевая политика) и у меня есть несколько вопросов
1, где я могу получить исходные коды SELinux (/ etc / selinux // src / policy /) Кажется, такого пакета нет на установочном компакт-диске ..
2, как ограничить права пользователя (например, пользователь jboss не может изменить /etc/my.cnf)
3, как настроить сервер приложений JBoss для работы под SELinux
Хотя я читал много документов от NSA, для меня все еще не ясна вся тема. Я хочу в основном защитить файловую систему в случае взлома одной учетной записи. Я не могу найти никаких материалов о защите jboss-сервера с использованием chroot jail, ACL или SELinux. ...
Чтобы ответить №1
Вы можете попробовать взглянуть на репозиторий Дэна Уолша Fedora SELinux git.
http://danwalsh.livejournal.com/38032.html
Также на этой странице есть информация о запуске JBoss с SELinux.
http://community.jboss.org/wiki/startjbossonbootwithlinux
Хотя он может быть устаревшим, и я не уверен, смотрели ли вы его еще.
В SELinux Вики является отличным источником для начала разработки политики.
Хороший ответ от Bostonvaulter. Вы можете добавить еще одну линию защиты, используя политику безопасности Java: http://docs.jboss.org/jbossas/docs/Server_Configuration_Guide/4/html/Security_on_JBoss-Running_JBoss_with_a_Java_2_security_manager.html