Selinux

[HAL9000]

Witam

Po aktualizacji do fc9 nie działał nawet yum przez to całe selinux, którego w ogóle nie znam i nie rozumiem. (to chyba coś ala zapora sieciowa w produkcie ms)

Uruchomiłem więc ustawienia tego "cuda" pozmieniałem wszystko na Permissive i przy ponownym uruchomieniu systemu nawet zalogować się nie mogę (zarówno X jak i konsola).

i mam takie pytania:

jak to naprawić?

i jak wyłączyć to całe selinux? chce mieć system o filozofii czysto linuksowej a jego bezpieczeństwem sam się zajmę!

 

[arni]

Witam

Po aktualizacji do fc9 nie działał nawet yum przez to całe selinux, którego w ogóle nie znam i nie rozumiem. (to chyba coś ala zapora sieciowa w produkcie ms)

Uruchomiłem więc ustawienia tego "cuda" pozmieniałem wszystko na Permissive i przy ponownym uruchomieniu systemu nawet zalogować się nie mogę (zarówno X jak i konsola).

i mam takie pytania:

jak to naprawić?

i jak wyłączyć to całe selinux? chce mieć system o filozofii czysto linuksowej a jego bezpieczeństwem sam się zajmę!

 

Uruchamiasz system z płyty w trybie ratunkowym, a potem edytujesz plik /etc/selinux/config i zmieniasz w nim SELINUX=permissive na SELINUX=disabled a potem restart i już jesteś pozbawiony tego badziewia.

[wojtekjs]

Tylko potem sprawdź, czy paczki selinuksa zostały prawidłowo zaktualizowane. Następnie odpal Fedorę w trybie permissive i dodaj parametr kernela "autorelabel=1" tak jak opisano tutaj: http://danwalsh.livejournal.com/10972.html. Może załapie, jeśli problemem były źle oznakowane pliki.

No chyba, że jesteś twardzielem i wolisz bez Ja jednak selinuxa polecam (zawsze dodatkowa ochrona).

[SeeM]

i jak wyłączyć to całe selinux? chce mieć system o filozofii czysto linuksowej a jego bezpieczeństwem sam się zajmę!

 

selinux w zasadzie to jest w jądrze i najlepiej go wyłączyć już przy odpalaniu kernela; w konfiguracji GRUBa dopisz na końcu linijki z kernelem (tam gdzie jest rhgb i inne takie):

selinux=0

i nawet nie zająknie; zaleta jest fakt, że uniezależniasz się od kreatorków i mogą sobie psuć i konfigurować ile chcą - nie włączy się i już

[Adi1981]

Tylko po co go wyłączać?

 

Jak coś nie działa/działa źle to wystarczy spróbować to poprawić w prosty sposób, a jak standardowe zabiegi nie dadzą efektu to zgłosić na bugzillę żeby poprawili.

 

Poza tym coś sam musiałeś konkretnie skopać, bo selinux w trybie permissive nie ma prawa Ci zabronić logowania do systemu, przepuszcza wtedy wszystko jak idzie. Jedynie mógł to zrobić w trybie enforcing. Permissive to praktycznie to samo co disabled, z tą różnicą że pliki nie tracą kontekstu i przy ponownym włączeniu nie trzeba im nadawać go ponownie.

[Jan Koprowski]

No właśnie. Wszyscy narzekają na to SELinux, że z nim "nie działa". A czy ktoś ma blade pojęcie jak się go używa. Wiem, że to jest implementacja MAC (Mandatory Access Controle), którą pierwszy raz widziałem w projekcie TrstuedBSD zaimplementowama na Linuksie. Widzieliście gdzieś jakieś poradniki, jak to kofniguorwać, jak używać ? Bo wyłączyć to najłatwiej ale fajnie byłoby zakumać o co qman.

[borzole]

Sensowne wprowadzenie do SELinux robili studenci z UW (pkt.5) students.mimuw.edu.pl....

coś więcej zapewne w bibliografii opracowań znajdziesz.

 

[@WalDo]

Widzieliście gdzieś jakieś poradniki, jak to kofniguorwać, jak używać ? Bo wyłączyć to najłatwiej ale fajnie byłoby zakumać o co qman.

Szczegółowo to nie jest trywialne → http://www.nsa.gov/selinux/ W wersji podstawowej to już borzole podał link.

 

W razie problemów z SElinux dobrze jest sprawdzić (wygenerować ponownie) konteksty plików. Jako root

touch /.autorelabel
reboot

i przygotować się na dłuższą chwilę wyczekiwania przy podnoszeniu systemu.

 

[Adi1981]

http://fedoraproject.org/wiki/SELinux

http://docs.fedoraproject.org/selinux-faq-fc5/

 

Co prawda drugi jest do F5, ale jza dużo raczej się tu nie zmieniło a jest dość pokaźną bazą wiedzy z całą masą podobnych linków.

[Jan Koprowski]

Super linki. Dzięki !