使用SELinux处理Java应用程序是否有最佳实践? 是否能够为每个Java应用程序配置SELinux,或者只能处理VM,因为它会使最终系统调用?
答案 0 :(得分:4)
如果您要求Java和SELinux工作,则取决于策略的定义方式。您将主要关注运行java进程的域,它如何到达该域以及允许该域做什么。
域只是一个SELinux上下文,用于查看进程正在运行的上下文/域,尝试ps的-Z选项(即ps -Z)。同样,为了查看文件的上下文,请尝试ls的-Z选项(即ls -Z)
您可能有兴趣查看SELinux策略源或使用sesearch或apol(来自setools)等分析工具来查看哪些策略允许以及java如何进入特定域。
从那里你会关心修复/编写可能是一个涉及的过程的策略,但是已经编写了一些工具,例如SLIDE(eclipse插件),seedit(虽然我对此没有经验)。
答案 1 :(得分:3)
您可以拥有任意数量的JVM和任意数量的JVM版本。如果您愿意,可以单独配置它们。
我建议将JVM的数量保持在您拥有或更少的核心数量附近。如果您开始拥有数百个JVM,则可能难以进行管理和配置。
答案 2 :(得分:2)
它不仅仅是您必须担心的可执行文件,它触及的所有文件。这是SElinux背后的真正力量。我反对关掉这个有价值的工具。我从Redhat的Dan Walsh看到的是unconfined_u将会消失。那么,这意味着您必须重新对齐数据文件,包括主目录中的.eclipse中的数据文件。我已将主登录信息减少到staff_u,我有sudo访问权限,但已将fcontext更改为/HOME_DIR/.eclipse(/.*)+到staff_java_t