Existe-t-il des meilleures pratiques pour gérer les applications Java avec SELinux? Est-il capable de configurer SELinux pour chaque application Java ou est-ce que seule la machine virtuelle peut être traitée car elle effectue les appels système finale?SELinux et Java
Vous pouvez également avoir un nombre quelconque de JVM et un nombre quelconque de versions de JVM. Vous pouvez les configurer tous indépendamment si vous le souhaitez.
Je suggère de garder le nombre de JVM autour du nombre de cœurs que vous avez ou moins. Si vous commencez à avoir des centaines de JVM, il peut être difficile à gérer et à configurer.
Si vous demandez que Java et SELinux fonctionnent, cela dépend de la façon dont la politique est définie. Vous serez principalement concerné par le domaine dans lequel le processus Java s'exécute, comment il est arrivé à ce domaine et ce que ce domaine est autorisé à faire.
Un domaine est juste un contexte SELinux pour voir quel contexte/domaine un processus est en cours d'exécution, essayez l'option -Z pour ps (ie ps -Z). De même, pour voir le contexte des fichiers, essayez l'option -Z pour ls (ie ls -Z)
Vous seriez intéressé de regarder la source de politique SELinux ou en utilisant un outil d'analyse comme sesearch ou apol (de setools) pour voir quelle politique permet et comment java est entré dans un domaine particulier. De là vous voudrez réparer/écrire la politique qui peut être un processus impliqué mais des outils ont été écrits tels que SLIDE (plugin eclipse), seedit (bien que je n'ai aucune expérience avec celui-ci) par exemple.
Ce ne sont pas seulement les exécutables dont vous devez vous soucier, c'est tous les fichiers qu'il touche. C'est le vrai pouvoir derrière SElinux. Je m'oppose à éteindre cet outil précieux. Ce que j'ai remarqué de Dan Walsh de Redhat, c'est que l'unconfined_u va disparaître. Eh bien, cela signifie que vous devez réaligner les fichiers de données, y compris ceux de .eclipse dans votre répertoire personnel. J'ai réduit ma connexion principale à staff_u, où j'ai un accès sudo mais j'ai changé le fcontext en /HOME_DIR/.eclipse(/.*)+ en staff_java_t
Soyez toujours prudent lorsque vous envisagez de modifier les fichiers de règles SELinux. Dans un monde idéal, nous voudrions écrire une fois la politique, puis tout intégrer dans cette politique. Bien sûr, cela est infaisable, mais on devrait s'efforcer de le faire. –