zomer Napisano Sierpień 7, 2010 Zgłoszenie Share Napisano Sierpień 7, 2010 Witam! Jak przywrócić pierwotny stan polityki selinux`a. Wszystkiego co jest w przystawce "system-config-selinux"?. plik konfiguracyjny mam w takim stanie cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled. SELINUX=enforcing # SELINUXTYPE= type of policy in use. Possible values are: # targeted - Only targeted network daemons are protected. # strict - Full SELinux protection. SELINUXTYPE=targeted Zaraz po instalacji fedory zrobiłem jej kopię więc mogę załadować nie naruszone jądro, z tego co wiem to w części Selinux mieści się w jądrze, ale co z opcjami: - Zmienna logiczna - Etykiety plików - Port sieciowy - Moduł polityki → to jak sądzę jest w obrazie jądra - Domena procesu Wszędzie coś namieszałem, a było tego tak wiele że już nie jestem w stanie cofnąć zmian z pamięci. Czy są jeszcze jakieś dodatkowe pliki, które można przenieść z kopi fedory. Tak jeszcze przy okazji. Po ustawieniu (z poziomu vim`a) SELINUXTYPE=strict w oknie system-config-selinux brak jest zakładek po lewej stronie. W ogóle to ciekaw jestem dlaczego w system-config-selinux pod nazwą "Domyślny systemowy typ polityki", jest do wyboru tylko "targeted", brak jest "strict". Czy to wina nakładki graficznej selinux`a? Jeszcze jedna prośba. Dajcie ludzie jakiegoś linka do manuala system-config-selinux.py, tylko takiego dla ludzi Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Sierpień 7, 2010 Zgłoszenie Share Napisano Sierpień 7, 2010 Co masz na myśli mówiąc "domyślny stan polityki"? I co namieszałeś? Wg mnie domyślne polityki są w paczkach selinux-policy*. Usuń je, wgraj na nowo, dodatkowo możesz po ponownym zainstalowaniu wykonać jako root touch /.autorelabel reboot Co do "strict" wydaje mi się, że to nie jest błąd GUI - powinieneś mieć zainstalowaną paczkę selinux-policy-strict (w tej chwili masz prawdopodobnie tylko 2: selinux-policy i selinux-policy-targeted) albo napisać reguły zezwalające na wyświetlanie tych zakładek (→ http://fedoraproject.org/wiki/SELinux/Understanding ) - pod tym linkiem jest kolejny link do dokumentu "ManageRHEL5.pdf" i tam jest napisane krotko i prosto Strict Policy A system where everything is denied by default You must specify allow rules to grant privileges Czyli jak nie pozwolisz na grzebanie w politykach, to i zakładek nie będzie. Tak myślę, ale SElinux to trudny i obszerny temat i nie mam tyle wiedzy, żeby mówić na 100%. [EDIT] Głupoty plotę. W tym samym dokumencie PDF napisane jest, że RHEL5 (więc i F13) nie wspiera SElinuksa typu "strict", więc oczywiście żadnych paczek typu selinux-policy-strict, samodzielnego tworzenia polityk itp. i stąd pewnie brak zakładek w GUI. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
zomer Napisano Sierpień 7, 2010 Autor Zgłoszenie Share Napisano Sierpień 7, 2010 WalDo Pisząc Domyślny systemowy typ polityki: miałem na myśli trzecią od góry rozwijaną listę w programie system-config-selinux.py po wybraniu z lewej strony zakładki Stan. Podręcznik się przydał. Niepokoiło mnie że przestałem dostawać informacje od systemu, przy różnych podejrzanych działaniach na systemie. Okazało się że nie mam pakietu setroubleshoot.x86_64 0:2.2.91-1.fc13 Nie wiem kiedy go usunąłem i przy jakiej okazji. Nadal będę szukał odpowiedzi jak ustawić politykę Selinux`a żeby okno sealert alarmowało mnie o próbie skanowania portów, oraz innych próbach przechwytywania pakietów sieciowych. Jak tak patrzę w netstat -Z to wnioskuję że po coś to jest, może właśnie po to żeby raportować działania na portach sieciowych. Może znajdę coś w tym pliku /etc/setroubleshoot/setroubleshoot.cfg . Ech jednak nic nie dało instalowanie setroubleshoot (może w ogóle go nie miałem), i tak nie potrafię go wywołać, natomiast sealert milczy jak zaklęty. Próbowałem się włamać do mojego systemu na wszystkie sposoby które znam, a sealert NIC, wprawdzie znam tych sposobów tylko kilka, ale system powinien jakoś zareagować. Przeinstaluję Selinux`a jak radziłeś i napiszę czy coś się zmieniło. Jeszcze dodam że po upgradzie Fc13 zmieniła lokalizację pliku konfiguracyjnego Selinux`a na /etc/selinux/config Dodatkowo pojawiły się dwie opcje polityki systemu: SELINUXTYPE= minimum mls → ta jest bardzo hałaśliwa i edukacyjna jednocześnie. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Sierpień 7, 2010 Zgłoszenie Share Napisano Sierpień 7, 2010 WalDo Pisząc Domyślny systemowy typ polityki: miałem na myśli trzecią od góry rozwijaną listę w programie system-config-selinux.py po wybraniu z lewej strony zakładki Stan.To jest to dokładnie wizualizacja wpisów w /etc/selinux/config "SELINUXTYPE=targeted" - zwykła edycja w dowolnym edytorze (wspominałeś "vim") załatwia temat. [...] żeby okno sealert alarmowało mnie o próbie skanowania portów Nie wiem jak to zrobić, ale może przydać Ci się opcja "-b" do polecenia sealert - "ręczne" wywołanie przeglądarki alarmów ("b" jak browser). Przeinstaluję Selinux`a jak radziłeś i napiszę czy coś się zmieniło.Eeee, to tylko takie magiczne ruchy a'la Windows Jeśli miałeś zainstalowane standardowe polityki, to przeinstalowanie paczek jest bez sensu. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się