Selinux Kontekst W Katalogach Uzytkownika

[fafig]

czy ktos wie jaki ma byc domyslny kontekst w katalogach na dysku twardym, bo np u mnie jakims cudem wszystkie dyski pod /mnt dostaly kontekst unlabeled_t. jakakolwiek proba zapisu pliku do takiego katalogu konczy sie access denied (dla roota tez ) zmienilem na user_home_t no i dziala ale nie wiem czy to dobry kontekst. ma ktos jakis pomysl?

[@WalDo]

A jakby tak po całości na domyślne?

touch /.autorelabel
reboot

[fafig]

to juz sprobowalem wczesniej tylko z ciekawosci chcialem wiedziec , wyglada na to ze domylsnie katalogi maja file_t a pliki unlabeled_t i wszyscy sa szczesliwi

[@WalDo]

SElinux stanowi dla mnie niezgłębiona zagadkę, ale chyba nie do końca jest tak jak piszesz. U mnie widać coś takiego

[root@F11 /]# ls -lZ
drwxr-xr-x. root root system_u:object_r:bin_t:s0       bin
drwxr-xr-x. root root system_u:object_r:boot_t:s0      boot
drwxr-xr-x. root root system_u:object_r:device_t:s0    dev
drwxr-xr-x. root root system_u:object_r:etc_t:s0       etc
drwxr-xr-x. root root system_u:object_r:home_root_t:s0 home
drwxr-xr-x. root root system_u:object_r:lib_t:s0       lib
drwxr-xr-x. root root system_u:object_r:lib_t:s0       lib64
drwx------. root root system_u:object_r:lost_found_t:s0 lost+found
drwxrwxrwx. root root system_u:object_r:default_t:s0   magazyn
drwxr-xr-x. root root system_u:object_r:mnt_t:s0       media
drwxr-xr-x. root root system_u:object_r:mnt_t:s0       mnt
drwxr-xr-x. root root system_u:object_r:usr_t:s0       opt
dr-xr-xr-x. root root system_u:object_r:proc_t:s0      proc
drwxr-x---. root root system_u:object_r:admin_home_t:s0 root
drwxr-xr-x. root root system_u:object_r:bin_t:s0       sbin
drwxr-xr-x. root root system_u:object_r:security_t:s0  selinux
drwxr-xr-x. root root system_u:object_r:var_t:s0       srv
drwxr-xr-x. root root system_u:object_r:sysfs_t:s0     sys
drwxrwxrwt. root root system_u:object_r:tmp_t:s0       tmp
drwxr-xr-x. root root system_u:object_r:usr_t:s0       usr
drwxr-xr-x. root root system_u:object_r:var_t:s0       var

Więc to chyba nie jest tak, że tylko file_t, default_t i unlabeled_t. Chociaż tak jak pisałem powyżej z SElinuksem to za pan brat nie jestem

[fafig]

znaczy chodzilo mi o wszelkie pozostale katalogi "niestystemowe" tzn podmontowane w roznych miejscach. jakby caly system mial tylko 2 kontrksty to po co selinux

[@WalDo]

Bo domyślnie to tak może być, że są dwa (albo niewiele większa, skończona liczba). Ale jak ktoś jest guru od SElinuksa to może pewnie zdziałać cuda.

W sumie jak o tym myślę, to zastanawiam się czy słusznie upieram się przy utrzymywaniu SElinux na domowych komputerach, na których funkcjonują tylko domyślne konteksty. Kiedyś to pewnie zgłębię, ale biorąc pod uwagę fakt, że zajmuję się tematem sporadycznie, to może mi się z tym zejść trochę

Jedno na razie nie ulega dla mnie wątpliwości, że jeśli ktoś uruchamia jakikolwiek serwer na komputerze (nawet jak mu się wydaje, że tylko na własny użytek ), to lepiej żeby miał SEliunksa włączonego.

A jakby się ktoś kiedyś odważył jakieś podstawy o SElinux opisać na wiki, to chętnie poczytam. Podstawy, bo → SElinux dla Fedory to dość opasła publikacja.

[moorray]

czy ktos wie jaki ma byc domyslny kontekst w katalogach na dysku twardym, bo np u mnie jakims cudem wszystkie dyski pod /mnt dostaly kontekst unlabeled_t. jakakolwiek proba zapisu pliku do takiego katalogu konczy sie access denied (dla roota tez ) zmienilem na user_home_t no i dziala ale nie wiem czy to dobry kontekst. ma ktos jakis pomysl?

 

Konteksty ścieżek sprawdza się matchpathcon.

Systemy plików, które nie wspierają SELinuksa (np. FAT, NTFS) mają jakiś domyślny kontekst i coś mi świta, że można go ustawić przy montowaniu.

 

[fafig]

ten kontekst to mnt_t. wszystko pod tym domyslnie taki ma. testowo sobie zrobilem katalogi i pliki....hmm myslalem ze pod tym wzgledem centos jest komnpatybilny z fedora - a jednak nie