Skocz do zawartości

Selinux Przywracanie


zomer

Rekomendowane odpowiedzi

Witam!

Jak przywrócić pierwotny stan polityki selinux`a. Wszystkiego co jest w przystawce "system-config-selinux"?.

plik konfiguracyjny mam w takim stanie

cat /etc/sysconfig/selinux
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted

Zaraz po instalacji fedory zrobiłem jej kopię więc mogę załadować nie naruszone jądro, z tego co wiem to w części Selinux mieści się w jądrze, ale co z opcjami:

- Zmienna logiczna

- Etykiety plików

- Port sieciowy

- Moduł polityki → to jak sądzę jest w obrazie jądra

- Domena procesu

Wszędzie coś namieszałem, a było tego tak wiele że już nie jestem w stanie cofnąć zmian z pamięci. Czy są jeszcze jakieś dodatkowe pliki, które można przenieść z kopi fedory.

Tak jeszcze przy okazji. Po ustawieniu (z poziomu vim`a)

SELINUXTYPE=strict

w oknie system-config-selinux brak jest zakładek po lewej stronie. W ogóle to ciekaw jestem dlaczego w system-config-selinux pod nazwą "Domyślny systemowy typ polityki", jest do wyboru tylko "targeted", brak jest "strict". Czy to wina nakładki graficznej selinux`a?

Jeszcze jedna prośba. Dajcie ludzie jakiegoś linka do manuala system-config-selinux.py, tylko takiego dla ludzi :)

Odnośnik do komentarza
Udostępnij na innych stronach

Co masz na myśli mówiąc "domyślny stan polityki"? I co namieszałeś?

Wg mnie domyślne polityki są w paczkach selinux-policy*. Usuń je, wgraj na nowo, dodatkowo możesz po ponownym zainstalowaniu wykonać jako root

touch /.autorelabel
reboot

 

Co do "strict" wydaje mi się, że to nie jest błąd GUI - powinieneś mieć zainstalowaną paczkę selinux-policy-strict (w tej chwili masz prawdopodobnie tylko 2: selinux-policy i selinux-policy-targeted) albo napisać reguły zezwalające na wyświetlanie tych zakładek (→ http://fedoraproject.org/wiki/SELinux/Understanding ) - pod tym linkiem jest kolejny link do dokumentu "ManageRHEL5.pdf" i tam jest napisane krotko i prosto

Strict Policy

A system where everything is denied by default

You must specify allow rules to grant privileges

Czyli jak nie pozwolisz na grzebanie w politykach, to i zakładek nie będzie.

Tak myślę, ale SElinux to trudny i obszerny temat i nie mam tyle wiedzy, żeby mówić na 100%.

 

[EDIT]

Głupoty plotę. W tym samym dokumencie PDF napisane jest, że RHEL5 (więc i F13) nie wspiera SElinuksa typu "strict", więc oczywiście żadnych paczek typu selinux-policy-strict, samodzielnego tworzenia polityk itp. i stąd pewnie brak zakładek w GUI.

Odnośnik do komentarza
Udostępnij na innych stronach

WalDo Pisząc Domyślny systemowy typ polityki: miałem na myśli trzecią od góry rozwijaną listę w programie system-config-selinux.py po wybraniu z lewej strony zakładki Stan. Podręcznik się przydał. Niepokoiło mnie że przestałem dostawać informacje od systemu, przy różnych podejrzanych działaniach na systemie. Okazało się że nie mam pakietu

setroubleshoot.x86_64 0:2.2.91-1.fc13

Nie wiem kiedy go usunąłem i przy jakiej okazji. Nadal będę szukał odpowiedzi jak ustawić politykę Selinux`a żeby okno

sealert

alarmowało mnie o próbie skanowania portów, oraz innych próbach przechwytywania pakietów sieciowych. Jak tak patrzę w

netstat -Z

to wnioskuję że po coś to jest, może właśnie po to żeby raportować działania na portach sieciowych. Może znajdę coś w tym pliku

/etc/setroubleshoot/setroubleshoot.cfg

. Ech jednak nic nie dało instalowanie setroubleshoot (może w ogóle go nie miałem), i tak nie potrafię go wywołać, natomiast sealert milczy jak zaklęty. Próbowałem się włamać do mojego systemu na wszystkie sposoby które znam, a sealert NIC, wprawdzie znam tych sposobów tylko kilka, ale system powinien jakoś zareagować. Przeinstaluję Selinux`a jak radziłeś i napiszę czy coś się zmieniło.

Jeszcze dodam że po upgradzie Fc13 zmieniła lokalizację pliku konfiguracyjnego Selinux`a na

/etc/selinux/config

Dodatkowo pojawiły się dwie opcje polityki systemu: SELINUXTYPE=

minimum

mls

→ ta jest bardzo hałaśliwa i edukacyjna jednocześnie.

Odnośnik do komentarza
Udostępnij na innych stronach

WalDo Pisząc Domyślny systemowy typ polityki: miałem na myśli trzecią od góry rozwijaną listę w programie system-config-selinux.py po wybraniu z lewej strony zakładki Stan.
To jest to dokładnie wizualizacja wpisów w /etc/selinux/config "SELINUXTYPE=targeted" - zwykła edycja w dowolnym edytorze (wspominałeś "vim") załatwia temat.

[...] żeby okno
sealert

alarmowało mnie o próbie skanowania portów

Nie wiem jak to zrobić, ale może przydać Ci się opcja "-b" do polecenia sealert - "ręczne" wywołanie przeglądarki alarmów ("b" jak browser).

Przeinstaluję Selinux`a jak radziłeś i napiszę czy coś się zmieniło.
Eeee, to tylko takie magiczne ruchy a'la Windows ;) Jeśli miałeś zainstalowane standardowe polityki, to przeinstalowanie paczek jest bez sensu.

 

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...