ysio Napisano Marzec 28, 2009 Autor Zgłoszenie Share Napisano Marzec 28, 2009 mam pomysl usune caly /etc/selinux, ale do tego potrzebuje jeszcze wyniku: for a in `find /etc/selinux`; do echo $a `rpm -qf $a`; done Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 28, 2009 Zgłoszenie Share Napisano Marzec 28, 2009 Nie chce mi się wklejać Dużo tego a wklejka bez sensu. Jeszcze raz mówię: mam dokładnie to co w dwóch paczkach: selinux-policy-targeted-3.5.13-49.fc10.noarch selinux-policy-3.5.13-49.fc10.noarch Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Marzec 28, 2009 Autor Zgłoszenie Share Napisano Marzec 28, 2009 juz nie trzeba zrobilem moze komus sie przya wiec: rpm -qa |egrep "selinux|policy|trouble" checkpolicy-2.0.16-3.fc10.i386 libselinux-2.0.78-1.fc10.i386 policycoreutils-2.0.57-17.fc10.i386 libselinux-python-2.0.78-1.fc10.i386 libselinux-utils-2.0.78-1.fc10.i386 rm -rf /etc/selinux yum reinstall `rpm -qa |egrep "selinux|policy|trouble"` ls -la /etc/selinux total 24 drwxr-xr-x 2 root root 4096 2009-03-28 11:06 . drwxr-xr-x 119 root root 12288 2009-03-28 11:06 .. -rw------- 1 root root 96 2009-02-08 04:41 restorecond.conf yum install selinux-policy-targeted selinux-policy libselinux zwlaszcza ostatnie polecenie dlugo sie wykonuje okolo 20min, ale to dlatego ze w skryptach rpm jest: selinuxenabled; if [ $? == 0 -a "${SELINUXTYPE}" == targeted -a -f ${FILE_CONTEXT}.pre ]; then fixfiles -C ${FILE_CONTEXT}.pre restore; restorecon -R /var/log /var/run 2> /dev/null; rm -f ${FILE_CONTEXT}.pre; fi moduly swieze, no to teraz wlaczyc selinux w /etc/selinux/config i touch /.autorelabel i reboot ale to juz musi poczekac do wieczora - ludzie w firmie pracuja w sobote (wiec jutro dam znac czy sie udal reboot zdalny dzieki Waldo Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 28, 2009 Zgłoszenie Share Napisano Marzec 28, 2009 No tak już lepiej, ale sprowadza się do tego samego Standardowa instalacja z obu ww. pakietów. Wystarczy ściągnąć oba *.rpm i wylistować zawartość. Ale skoro sie upierasz... /etc/selinux selinux-policy-3.5.13-49.fc10.noarch /etc/selinux/semanage.conf libsemanage-2.0.28-1.fc10.x86_64 /etc/selinux/config selinux-policy-3.5.13-49.fc10.noarch /etc/selinux/restorecond.conf policycoreutils-2.0.57-17.fc10.x86_64 Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Marzec 28, 2009 Autor Zgłoszenie Share Napisano Marzec 28, 2009 No tak już lepiej, ale sprowadza się do tego samego Standardowa instalacja z obu ww. pakietów. Wystarczy ściągnąć oba *.rpm i wylistować zawartość. Ale skoro sie upierasz... /etc/selinux selinux-policy-3.5.13-49.fc10.noarch /etc/selinux/semanage.conf libsemanage-2.0.28-1.fc10.x86_64 /etc/selinux/config selinux-policy-3.5.13-49.fc10.noarch /etc/selinux/restorecond.conf policycoreutils-2.0.57-17.fc10.x86_64 dzieki - ale jak sam napisales to nie są "oba ww. pakiety" obejrzyj dokladnie wklejony przez Ciebie kod - tam są trzy pakiety libsemanage policycoreutils selinux-policy rpm -ql libsemanage /etc/selinux/semanage.conf /lib/libsemanage.so.1 ls -la /etc/selinux/semanage.conf ls: cannot access /etc/selinux/semanage.conf: No such file or directory yum reinstall libsemanage ls -la /etc/selinux/semanage.conf -rw-r--r-- 1 root root 1766 2008-09-15 18:27 /etc/selinux/semanage.conf ehh od nowa musze zrobic wszystko, przez jdena glupia linie w /etc/selinux/semanage.conf module-store = direct ---- łączenie postów ---- naprawa selinux, po kolei jak zrobilem do tej pory deinstaluje co sie da (na pytania odpowiadac [y]) yum remove `rpm -qa |egrep "selinux|policy|trouble|semanage"` mv /etc/selinux /etc/selinux.bak yum reinstall `rpm -qa |egrep "selinux|policy|trouble|semanage"` yum install selinux-policy selinux-policy-targeted /usr/sbin/semanage: range not supported on Non MLS machines jeszcze mam jedna prosbę find /etc/selinux | wc -l u mnie jest 379 Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 28, 2009 Zgłoszenie Share Napisano Marzec 28, 2009 (edytowane) (...)tam są trzy pakiety W ten sposób licząc to 4, bo jeszcze selinux-policy-targeted, ale libsemanage provides an API for the manipulation of SELinux binary policiesoraz policycoreutils contains the policy core utilities that are required for basic operation of a SELinux system Tak więc gotowe, standardowe polityki dostarczane są w pakietach selinux-policy*. I u mnie są zainstalowane dwa: selinux-policy oraz selinux-policy-targeted. jeszcze mam jedna prosbę find /etc/selinux | wc -l Chwilowo bawię się na F11, dokleję jak wrócę na F10. [EDIT] U mnie wyszło 212 - zgadzałoby się, bo nie mam tych kilku pakietów z politykami, które były/są zainstalowane u Ciebie. Edytowane Marzec 28, 2009 przez WalDo Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Marzec 28, 2009 Autor Zgłoszenie Share Napisano Marzec 28, 2009 rpm -qa |egrep "selinux|policy|trouble|semanage" libselinux-utils-2.0.78-1.fc10.i386 selinux-policy-3.5.13-49.fc10.noarch policycoreutils-2.0.57-17.fc10.i386 checkpolicy-2.0.16-3.fc10.i386 libselinux-python-2.0.78-1.fc10.i386 selinux-policy-targeted-3.5.13-49.fc10.noarch libsemanage-2.0.28-1.fc10.i386 libselinux-2.0.78-1.fc10.i386 libsemanage-python-2.0.28-1.fc10.i386 a jaki wynik otrzymujesz w wyniku: grep selinux /etc/fstab albo lepiej cat /etc/fstab Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 28, 2009 Zgłoszenie Share Napisano Marzec 28, 2009 Niby skąd miałby się wziąć selinux w /etc/fstab Może Ci w ogóle prześlę mój system w jakiejś paczce Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Marzec 28, 2009 Autor Zgłoszenie Share Napisano Marzec 28, 2009 Niby skąd miałby się wziąć selinux w /etc/fstab Może Ci w ogóle prześlę mój system w jakiejś paczce http://students.mimuw.edu.pl/SO/Projekt05-...ex.html#selinux W SELinux występuje specjalny system plików zamątowany w /selinux. fstab# mount -t selinuxfs none /selinux pewnie tj. jak z binfmt_misc grep bin/etc/mtab none /proc/sys/fs/binfmt_misc binfmt_misc rw 0 0 a tymczasem grep bin/etc/fstab df|grep bin ale do czego w takim razie jest /selinux - u mnie pusty - mam nadzieje ze t tylko dlatego, że selinuxenabled -v; echo $? 1 czyli wylaczone jeszcze se za paczkę dziękuję chyba, że z załącznikiem w postaci ciepłej pizzy i zimnej coli Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 28, 2009 Zgłoszenie Share Napisano Marzec 28, 2009 (edytowane) http://students.mimuw.edu.pl/SO/Projekt05-...ex.html#selinuxJeśli o mnie chodzi, to w SElinux dopiero (wciąż) raczkuję, ale co do montowania /selinux to z całą pewnością nie jest on w Fedorze montowany jawnie przez /etc/fstab. Nie mowiąc o tym, że Fedora to jednak nie Gentoo Ale polecenia umount /selinux mount -t selinuxfs none /selinux jak najbardziej poprawnie działają. Edytowane Marzec 28, 2009 przez WalDo Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Marzec 28, 2009 Autor Zgłoszenie Share Napisano Marzec 28, 2009 a u mnie jest tak ps. semodule uz dziala moge zrobic semodule -r bind, ale nadal mount -t selinuxfs none /selinux mount: unknown filesystem type 'selinuxfs' pewnie dlatego, że SELinux nadal wylaczony jest jutro wieczorem bede przejezdzal obok serwera to wezme aparat fotograficzny i zrobie mu reboot /.autorelabel juz zalozylem na wszelki wypadek ps. z /etc/selinux/config jedna z opcji zniknela: selinux bylo full i targeted a teraz jest targeted i mls !! ja mam: egrep -v "^#|^$" /etc/selinux/config SELINUX=permissive SELINUXTYPE=targeted Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 28, 2009 Zgłoszenie Share Napisano Marzec 28, 2009 Czyli wygląda tak jakby SELinux był włączony w trybie przepuszczania (SELINUX=permissive). Robiłeś restart po wykonaniu tej zmiany? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Marzec 28, 2009 Autor Zgłoszenie Share Napisano Marzec 28, 2009 Robiłeś restart po wykonaniu tej zmiany? oczywiscie ze jeszcze nie zrobilem, to serwer produkcyjny. wole poczekac, niz pozniej pluc sobie w brode przegrać samobójem z Irlandią - tego się nie spodziewałem ;/ 7 min pozniej serwer zyje sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: permissive Policy version: 23 Policy from config file: targeted ls -la /selinux/|wc -l 25 no a skoro mam juz permissive to trzeba by to zmienic na enforcing tylko jak czytac ten /var/log/audit/audit.log? jak dostosowac reguly egrep -i selinux /var/log/messages Mar 28 22:00:00 www kernel: SELinux: Initializing. zdanych bledow egrep AVC /var/log/audit/audit.log|wc -l 28 egrep AVC /var/log/audit/audit.log|awk -F\" '{print $2}'|sort|uniq clamd.amavisd dovecot pop3-login postgrey spamd sshd syslog-ng tc uptime Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 28, 2009 Zgłoszenie Share Napisano Marzec 28, 2009 Czyli ogólnie lepiej Jeśli "permissive" nie zgłasza błedów, to i na "enforcing" powinno być OK. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Marzec 28, 2009 Autor Zgłoszenie Share Napisano Marzec 28, 2009 Czyli ogólnie lepiej Jeśli "permissive" nie zgłasza błedów, to i na "enforcing" powinno być OK. Waldo, wyzej mapisalem egrep AVC /var/log/audit/audit.log|wc -l 28 czyli 28 komunikatow o bledach, w tej chwili mam ich okolo 100 ale zaczekam jeszcze zanim zapodam audit2allow Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się