Dla Kogo Jest Selinux?

[@WalDo]

...jak dasz DISABLED, to SELinux w ogóle nie działa, tak jakby go nie było.

Tzn. że rozumiem jeszcze mniej niż myślałem "disabled" wyłącza SELinuksa. A bez polityk, tych domyślnych zainstalowanych paczkami selinux-policy* będzie działał?

[@sunrise]

Oczywiście mówimy o warstwie dla użytkownika komputera. Warto jeszcze dodać parametr jądra "Enforcing=0" i pozbyć się uporczywego podrzucania pliku .autorelabel, mimo niedziałającego selinuxa.

Czy ktoś wie gdzie to wyłaczyć?

A co zwracają polecenia

systemctl status fedora-autorelabel-mark

systemctl status fedora-autorelabel

[@sunrise]

Tzn. że rozumiem jeszcze mniej niż myślałem "disabled" wyłącza SELinuksa. A bez polityk, tych domyślnych zainstalowanych paczkami selinux-policy* będzie działał?

Według mnie to przy włączonym selinuksie, i braku polityk to nic Ci nie będzie działało, w politykach są zawarte pozwolenia na określone działania.

[@WalDo]

No, tak. Słusznie... W takim razie tym bardziej nie rozumiem w jaki sposób Fedoras wyłączał SELinux w F18 :\

[@sunrise]

Sprawdziłem na virtualce, po usunięciu selinux-policy i selinux-policy-targeted selinux jest wyłączony i nie da się go włączyć. Jako, że mam zainstalowane pakiety z repo updates-testing to selinux-policy udało się odinstalować, ale libselinux-* już się nie udało z powodu zależności.

[@WalDo]

No, właśnie - wykonałem dokładnie taki sam eksperyment Po usunięciu selinux-policy* system można uruchomić dopiero po dodaniu parametru selinux=0.

Nie mniej Fedoras pisał tak, jakby w wersjach przed F19 było to możliwe → http://forum.fedora.pl/topic/26170-dla-kogo-jest-selinux/?p=162880

Najwyraźniej coś źle zrozumiałem.

[Subaru]

Ja rozumiem z tego wszystkiego jeszcze mniej. Zawsze uważałem, że SELinux to taki strażnik #1 (albo #2 bo #1 to ew. IPTables) i powinien pozostać w systemie gdyby się coś działo.

Fakt, że trochę irytuje jak po raz n-ty czepia się np. Wine'a (/usr/bin/wine-reloader konkretnie), ale zawsze zostawiałem wszystko tak jak jest, bo ufałem, że tak ma się dziać i już.

Raz czy dwa w życiu zastosowałem jakąś regułę wyłączenia sprawdzania dla jakiejś rzeczy bo przez to nie mogłem pójść z czymś dalej (szczerze już nie wiem z czym), ale nic po za tym.

Chyba krzywda mi się nie stanie jeśli pozwolę SELinux sobie być dobrym pieskiem przy budzie?

[Fedoras]

Trochę dużo jak na jedną osobę, ale spróbuje po kolei

 

A co zwracają polecenia

systemctl status fedora-autorelabel-mark

systemctl status fedora-autorelabel

Zwracają status. Niestety polecenie disable nie wywołuje oczekiwanych przeze mnie skutków.

 

W F18 miałem wersje:

libsemanage-2.1.9-1.fc18.i686.rpm

libselinux-2.1.12-7.3.fc18.i686.rpm

 

Być może dodanie w F19 do libsemanage zależności (REQUIRENAME) selinux-policy, spowodowało problem z odinstalowaniem selinux-policy.

 

W F18 wyglądało to tak:

# yum remove libselinux-python selinux-policy selinux-policy-targeted selinux-policy-doc selinux-policy-devel libselinux-utilsRozwiązano Zależności================================================================================================================================================================ Package                                            Architektura                  Wersja                                  Repozytorium                    Rozmiar================================================================================================================================================================Usuwanie: libselinux-python                                  i686                          2.1.12-7.3.fc18                         @updates                        667 klibselinux-utils                                   i686                          2.1.12-7.3.fc18                         @updates                         92 k
selinux-policy                                     noarch                        3.11.1-97.fc18                          @updates                         62
selinux-policy-devel                               noarch                        3.11.1-97.fc18                          @updates                        8.6 M
selinux-policy-doc                                 noarch                        3.11.1-97.fc18                          @updates                         25 M
selinux-policy-targeted                            noarch                        3.11.1-97.fc18                          @updates                         16 M
Usuwanie, aby rozwiązać zależności: 
firstboot                                          i686                          18.6-2.fc18                             @fedora                         733 kpolicycoreutils                                    i686                          2.1.13-59.fc18                          @updates                        3.1 Mpolicycoreutils-devel                              i686                          2.1.13-59.fc18                          @updates                        208 kpolicycoreutils-gui                                i686                          2.1.13-59.fc18                          @updates                        472 kpolicycoreutils-python                             i686                          2.1.13-59.fc18                          @updates                        1.1 M
policycoreutils-sandbox                            i686                          2.1.13-59.fc18                          @updates                         29 kpython-slip                                        noarch                        0.4.0-1.fc18                            @updates                         60 k
python-slip-dbus                                   noarch                        0.4.0-1.fc18                            @updates                         75 k
python-slip-gtk                                    noarch                        0.4.0-1.fc18                            @updates                        3.8 ksetroubleshoot                                     i686                          3.2.3-3.fc18                            @updates                        227 k
setroubleshoot-plugins                             noarch                        3.0.50-1.fc18                           @updates                        4.3 M
setroubleshoot-server                              i686                          3.2.3-3.fc18                            @updates                        1.2 M
system-config-date                                 noarch                        1.10.5-1.fc18                           @updates                        4.0 M
system-config-date-docs                            noarch                        1.0.11-2.fc18                           @fedora                         1.5 M
system-config-firewall                             noarch                        1.2.29-8.fc18                           @fedora                         577 k
system-config-firewall-base                        noarch                        1.2.29-8.fc18                           @fedora                         2.3 M
system-config-firewall-tui                         noarch                        1.2.29-8.fc18                           @fedora                          59 k
system-config-printer                              i686                          1.3.13-1.fc18                           @updates                        1.3 M
system-config-users                                noarch                        1.3.3-1.fc18                            @updates                        1.8 M
system-config-users-docs                           noarch                        1.0.9-4.fc18                            @fedora                         1.6 M
Podsumowanie transakcji
================================================================================================================================================================
Usunięcie  6 Pakiety (+20 Zależne pakiety)
Rozmiar po zainstalowaniu: 75 M

Czyli w zależnościach usuwa to co chcę plus parę śmieciowych okienkowych nakładek, bez których można sobie poradzić w linuxie.

 

Dobrze, że wspomnieliście o wirtualach. Zacząłem się zastanawiać, czy gdybym chciał kontrolować działania wykonywane na jakimś komputerze, to zostawiłbym lukę dla wirtuali.

 

Może warto zadać nowe pytanie:

Jak realny system kontroluje działania użytkownika w wirtualnym komputerze?

[@WalDo]

Niestety polecenie disable nie wywołuje oczekiwanych przeze mnie skutków.

nie wiem jakich się rezultatów spodziewasz, ale jeśli zatrzymania serwisu, to dopiero po restarcie. Natychmiast zatrzymuje "stop".

 

 

# yum remove libselinux-python selinux-policy selinux-policy-targeted selinux-policy-doc selinux-policy-devel libselinux-utils 

 

Wszystko pięknie, ale gdzie tu libselinux? Taki "goły" libselinux A wśród usuwanych nie ma w ogóle libselinnux-python, libselinux-utils.

 

Może warto zadać nowe pytanie:

Jak realny system kontroluje działania użytkownika w wirtualnym komputerze?

Wcale. Na wirtualnym systemie działa (albo i nie - zależy jak sobie życzysz) SELinux wirtualnego systemu.

[Fedoras]

nie wiem jakich się rezultatów spodziewasz, ale jeśli zatrzymania serwisu, to dopiero po restarcie. Natychmiast zatrzymuje "stop". 

 

Nic nie daje oczekiwanych rezultatów. Po przeładowaniu cały czas tworzony jest plik /.autorelabel

 

Wszystko pięknie, ale gdzie tu libselinux? Taki "goły" libselinux

 

Tak jak pisałem:

http://forum.fedora.pl/topic/26170-dla-kogo-jest-selinux/#entry162887

 

 

A wśród usuwanych nie ma w ogóle libselinnux-python, libselinux-utils. Wcale.

 

Jest, jest. Niestety mam jakieś problemy w codeboxie ze znacznikiem końca linii i nie wszystko przeenterowałem prawidłowo. Jest w pierwszej linii kodu, tej brązowej (=====Usuwanie: libselinux-python....), trzeba przewinąć pasek przewijania w prawo.

 

Wielkie dzięki za lepszy parametr dla jądra.

 

@Subaru

Masz całkowitą rację. Podstawowym zadaniem SELinuxa jest ochrona i spełnia ją bardzo dobrze. Ten wątek to raczej teoretyczna dyskusja akademicka, która wynikła z niepotwierdzonych plotek.

 

Pozdrawiam

[Gość]

Fedoras,

myślę, że jak napiszesz co chcesz praktycznie osiągnnąć, to łątwiej bedzie znaleźć rozwiązanie. Na tą chwilę, widzę, że chcesz usunąć wszystkie pakiet SELinuksa, ale zapominasz, że sam kernel ma odpowiednie moduły, które sprawiają, że to działa. Próbuję cię zrozumieć

[@sunrise]

Jak realny system kontroluje działania użytkownika w wirtualnym komputerze?

Wcale. Na wirtualnym systemie działa (albo i nie - zależy jak sobie życzysz) SELinux wirtualnego systemu.

Nie do końca, realny system (host) może za pomocą selinuksa zabezpieczyć wirtualny system (guest), w taki sposób, że jeżeli w wyniku np. błędu, guest uzyskał by dostęp do hosta, to selinuks uniemożliwi mu dokonanie jakichkolwiek zmian. W virt-managerze jest odpowiednia opcja.

[@WalDo]

Zgadza się. Tak właśnie powiedziałem: SELinux gospodarza chroni gospodarza, ale nie kontroluje działań na systemie goszczonym tak długo, jak długo system goszczony nie przekracza granicy gospodarza.

[Subaru]

Ah to przepraszam na moment miałem "zaćmę" i się bałem, że SELinux jest podejrzany o coś ^_^"

 

 

 

Nie do końca, realny system (host) może za pomocą selinuksa zabezpieczyć wirtualny system (guest), w taki sposób, że jeżeli w wyniku np. błędu, guest uzyskał by dostęp do hosta, to selinuks uniemożliwi mu dokonanie jakichkolwiek zmian. W virt-managerze jest odpowiednia opcja.

Genialne! Od razu czuję się bezpieczniej, serio

Miło, że SELinux może czuwać nawet w takim przypadku, tym bardziej, że Virtualna Maszyna przeważnie (chyba) nie ma dostępu innego niż zezwolony katalog (np. Virtual Box) i częściowy dostęp do sprzętu fizycznego jaki wskażemy (typu np. drukarka) to i sam SELinux nie ma chyba aż tak dużo do roboty w tej kwestii.

 

Hmm acz ciekawe o co SELinux się tak ciągle czepia przy Wine-preloader, bo to już trwa odkąd pamiętam i ani SELinux nie odpuszcza, ani Wine nie przestaje go drażnić hmm~

[Gość]

Genialne! Od razu czuję się bezpieczniej, serio

Miło, że SELinux może czuwać nawet w takim przypadku, tym bardziej, że Virtualna Maszyna przeważnie (chyba) nie ma dostępu innego niż zezwolony katalog (np. Virtual Box) i częściowy dostęp do sprzętu fizycznego jaki wskażemy (typu np. drukarka) to i sam SELinux nie ma chyba aż tak dużo do roboty w tej kwestii.

 

Proponuję trochę poczytać o sVirt i konkretnym przypadku przełamania hyperwizora xena:

http://danwalsh.livejournal.com/30565.html