是否有使用 SELinux 处理 Java 应用程序的最佳实践?是否能够为每个 Java 应用程序配置 SELinux,还是只能处理 VM,因为它会进行最后的系统调用?
问问题
4567 次
3 回答
4
如果您问 Java 和 SELinux 是否可以工作,这取决于策略是如何定义的。您将主要关心 java 进程在哪个域中运行,它如何到达该域以及该域被允许做什么。
域只是一个 SELinux 上下文,用于查看进程正在运行的上下文/域,请尝试使用 ps 的 -Z 选项(即 ps -Z)。同样,要查看文件的上下文,请尝试 ls 的 -Z 选项(即 ls -Z)
您可能有兴趣查看 SELinux 策略源或使用诸如 sesearch 或 apol(来自 setools)之类的分析工具来查看允许哪些策略以及 java 如何进入特定域。
从那里你会关心修复/编写策略,这可能是一个涉及的过程,但是已经编写了工具,例如 SLIDE(eclipse 插件)、seedit(尽管我没有这方面的经验)。
于 2009-06-19T23:33:47.677 回答
3
您可以拥有任意数量的 JVM 和任意数量的 JVM 版本。如果您愿意,您可以独立配置它们。
我建议将 JVM 的数量保持在您拥有的内核数量左右或更少。如果您开始拥有数百个 JVM,则可能难以管理和配置。
于 2009-06-17T19:56:42.590 回答
2
您需要担心的不仅仅是可执行文件,还有它涉及的所有文件。这是 SElinux 背后的真正力量。我反对关闭这个有价值的工具。我从 Redhat 的 Dan Walsh 那里看出,unconfined_u 将会消失。好吧,这意味着您必须重新对齐数据文件,包括主目录中 .eclipse 中的数据文件。我已将我的主要登录减少到 staff_u,在那里我具有 sudo 访问权限,但已将 fcontext 更改为 /HOME_DIR/.eclipse(/.*)+ 到 staff_java_t
于 2011-10-27T13:18:21.717 回答