Problem Z Selinuxem, Jak Mniemam

[kichun]

Sprawa wygląda prosto, gdy włącze dowolny plik wideo w kaffeine to słychać dźwięk, film niby "idzie" ale obrazu brak, tylko czarny ekran. Jak wyłącze SElinux to działa elegancko. Mplayer działa normalie, ale zależy mi na kaffeine. Ktoś wie może jak to załatwić?

[kfabias]

moze nie jestem jakims tam szpecem, ale czytalem ze SElinux bardzo czesto powoduje najrozmaitsze problemy, stad moze najlepiej wylacz go na stale

[kichun]

Ale to chyba trochę bieda nie? bo ten SElinux niby po coś jest, i skoro nie jest to w windowsie to powinien jednak dawać to bezpieczeństwo, ktoś zna jakiś lepszy sposób?

[Ponury]

Odpal kaffeine z konsoli powinny jakieś komunikaty się pojawić, ewentualnie zobacz coś takiego jak "rozwiązywanie problemów z SELinux", nie wiem jak to działa bo jeszcze nie używałem.

[kichun]

po wpisaniu w konsoli "kaffeine" odpala się kaffeine i wyświetla taki bajer:

0
   QLayout "unnamed" added to QWidget "unnamed", which already has a layout

i potem normalnie już można coś wpisywać, zero reakcji na otwieranie plików

[Ponury]

W google wpisałem to co oddała tobie konsola + koffeine, pierwszy odnośnik prowadził na nasze forum więc szukaj dokładniej.

to jest rezultat http://forum.fedora.pl/lofiversion/index.php/t14151.html

[kichun]

Otóż szukałem dosyć dokładnie (jak mi się wydaje) na google i na tym forum osobno również i zanim napisałem ten temat znalazłem ten, do którego link mi wysłałeś, ale nic co tam napisano nie pomogło mi, dlatego też zdecydowałem się rozpocząć nowy wątek.

[kfabias]

Ale to chyba trochę bieda nie? bo ten SElinux niby po coś jest, i skoro nie jest to w windowsie to powinien jednak dawać to bezpieczeństwo, ktoś zna jakiś lepszy sposób?

 

Z tego co wiem i co wyczytalem na innych forach to nawet jest zalecane wylaczenie SElinuxa , z tytulu ze duzo jest z nim problemow.

apropo, co do bezpieczenstwa

prawidlowe skonfigurwanie iptables gwarantuje ze da optymalne bezpieczenstwo, no chyba ze lubisz byc NAPRAWDE BEZPIECZNY, ale to musisz sie liczyc z najrozniejszymi problemami

[@WalDo]

z tytulu ze duzo jest z nim problemow.

No to jest poważny argument :lammer:

prawidlowe skonfigurwanie iptables gwarantuje ze da optymalne bezpieczenstwo

Nie optymalne a co najwyżej minimalne. Bo jeśli ktoś wykorzystując jakąś dziurę (np.w przeglądarce) dostanie się do systemu, to ma do pokonania kolejną i to znacznie mocniejszą niż firewall zaporę - bez tego może sobie hulać dowolnie, instalować co chce, podmieniać pliki (np. polecenie ps, żeby ukryć wyświetlanie swoich procesów itp.). I tego firewall nie zabroni, bo większość ludzi ma ustawioną regułkę iptables -A INPUT -i lo -j ACCEPT

 

Wprawdzie faktycznie panuje przekonanie, że w domowych zastosowaniach SElinux można wyłączyć, ale wydaje mi się, że jednak lepiej pozmieniać konteksty poszczególnych programów niż się go pozbywać.

 

Natomiast w celu sprawdzenia czy kaffeine nie ma problemu z SElinux, to faktycznie można go na trochę wyłączyć. Po powtórnym załączeniu SElinuksa przy restarcie trzeba będzie poczekać dłuższy czas aż zostaną przejrzane i odbudowane polityki.

 

[kichun]

No włąśnie pisząc ten temat już wiedziałem ze to raczej chodzi o SElinuxa, bo przy wylączony kaffeine działał a przy wlączonym nie i wiem że jak się wyłączy i włączy to sie dłużej system włącza bo takie bajery się robią. Domyślam się również że trzeba jakieś konteksty pozmieniać tylko nie wiem jakie i jak. Może chodzi o wszystkie pliki z folderu /usr/lib/codecs?

[@WalDo]

Może chodzi o wszystkie pliki z folderu /usr/lib/codecs?

Raczej nie. O ile wiem, to mplayer korzysta z tych samych kodeków.

Czy masz w pełni zaktualizowany system? Wraz z nową wersją oprogramowania dostarczane są zazwyczaj odpowiednie domyślne polityki SElinux.

W każdym razie u mnie kaffeine działa bez problemu. Moje wersje kaffeine i polityk SElinux

[waldo@waldo ~]$ rpm -qa | grep kaffeine
kaffeine-0.8.4-1.fc7
[waldo@waldo ~]$ rpm -qa | grep selinux
libselinux-2.0.14-9.fc7
selinux-policy-targeted-2.6.4-48.fc7
selinux-policy-2.6.4-48.fc7
libselinux-python-2.0.14-9.fc7

[Gość _PaT]

Uruchom kaffeine i wklej nam wyjście polecenia:

tail /var/log/audit/audit.log

[kichun]

Wyjście z tego polecenia to :

tail /var/log/audit/audit.log
type=USER_START msg=audit(1193697120.384:126): user pid=2699 uid=0 auid=500 subj=system_u:system_r:gdm_t:s0-s0:c0.c1023 msg='PAM: session open acct=kichun : exe="/usr/sbin/gdm-binary" (hostname=?, addr=?, terminal=:0 res=success)'
type=USER_LOGIN msg=audit(1193697120.417:127): user pid=2699 uid=0 auid=500 subj=system_u:system_r:gdm_t:s0-s0:c0.c1023 msg='uid=500: exe="/usr/sbin/gdm-binary" (hostname=host-81-190-244-68.malbork.mm.pl, addr=81.190.244.68, terminal=:0 res=success)'
type=USER_AUTH msg=audit(1193697167.166:128): user pid=3012 uid=500 auid=500 subj=user_u:system_r:unconfined_t:s0 msg='PAM: authentication acct=root : exe="/usr/sbin/userhelper" (hostname=?, addr=?, terminal=? res=success)'
type=USER_ACCT msg=audit(1193697167.166:129): user pid=3012 uid=500 auid=500 subj=user_u:system_r:unconfined_t:s0 msg='PAM: accounting acct=root : exe="/usr/sbin/userhelper" (hostname=?, addr=?, terminal=? res=success)'
type=USER_START msg=audit(1193697167.264:130): user pid=3012 uid=500 auid=500 subj=user_u:system_r:unconfined_t:s0 msg='PAM: session open acct=root : exe="/usr/sbin/userhelper" (hostname=?, addr=?, terminal=? res=success)'
type=USER_END msg=audit(1193697175.387:131): user pid=3012 uid=500 auid=500 subj=user_u:system_r:unconfined_t:s0 msg='PAM: session close acct=root : exe="/usr/sbin/userhelper" (hostname=?, addr=?, terminal=? res=success)'
type=USER_AUTH msg=audit(1193697213.592:132): user pid=3076 uid=500 auid=500 subj=user_u:system_r:unconfined_su_t:s0 msg='PAM: authentication acct=root : exe="/bin/su" (hostname=?, addr=?, terminal=pts/2 res=success)'
type=USER_ACCT msg=audit(1193697213.593:133): user pid=3076 uid=500 auid=500 subj=user_u:system_r:unconfined_su_t:s0 msg='PAM: accounting acct=root : exe="/bin/su" (hostname=?, addr=?, terminal=pts/2 res=success)'
type=USER_START msg=audit(1193697213.615:134): user pid=3076 uid=500 auid=500 subj=user_u:system_r:unconfined_su_t:s0 msg='PAM: session open acct=root : exe="/bin/su" (hostname=?, addr=?, terminal=pts/2 res=success)'
type=CRED_ACQ msg=audit(1193697213.615:135): user pid=3076 uid=500 auid=500 subj=user_u:system_r:unconfined_su_t:s0 msg='PAM: setcred acct=root : exe="/bin/su" (hostname=?, addr=?, terminal=pts/2 res=success)'    

ale to już chyba nie ważne bo zrobiłem aktualizacje wszystkiego co mi sie skojarzyło z selinuxem + zainstalowałem sobie seedit (nie mam pojęcia czy to coś dało) i już działa kaffeine normalnie.

[Kuna]

No to jest poważny argument :lammer:

Nie optymalne a co najwyżej minimalne. Bo jeśli ktoś wykorzystując jakąś dziurę (np.w przeglądarce) dostanie się do systemu, to ma do pokonania kolejną i to znacznie mocniejszą niż firewall zaporę - bez tego może sobie hulać dowolnie, instalować co chce, podmieniać pliki (...)

Wprawdzie faktycznie panuje przekonanie, że w domowych zastosowaniach SElinux można wyłączyć, ale wydaje mi się, że jednak lepiej pozmieniać konteksty poszczególnych programów niż się go pozbywać.

 

WalDo - czy jest na sieci jakis dobry (= krotki, lopatologiczny) przewodnik o SELinuxie ? (Tak, szukalem czegos wlasciwego przez ostatnie 2 godziny, wchodzi wgre jezyk polski lub angielski). Jk na razie moje "przezycia" bardzo mocno popychaja mnie w kierunku jego wylaczenia, choc zgadzam sie ze nie jest to najmadrzejsze rozwiazanie ...

 

Kuna

[@WalDo]

WalDo - czy jest na sieci jakis dobry (= krotki, lopatologiczny) przewodnik o SELinuxie ?

W przypadku SElinux dobry <> krótki, łopatologiczny. Zresztą krótkiego nie spotkałem.

Dobry? → http://www.redhat.com/docs/manuals/enterpr.../selinux-guide/

W każdym razie IMHO nieco bardziej zrozumiały niż opisy na http://www.nsa.gov/selinux