Google drive automatyczne montowanie po uruchomieniu systemu.

[SeeM]

Czy użyawsz sudo do wykonania semanage, lub restorecon?

Restorecon powinno zwrócić komunikat o zmianie polityki Selinuksa względem pliku google-drive-ocamlfuse, ale tak się nie stało.

[fraktal15]

W dniu 18.02.2022 o 08:02, SeeM napisał:

Czy użyawsz sudo do wykonania semanage, lub restorecon?

Restorecon powinno zwrócić komunikat o zmianie polityki Selinuksa względem pliku google-drive-ocamlfuse, ale tak się nie stało.

[panekadamek@fedora ~]$ sudo semanage fcontext -a -t bin_t '/home/panekadamek/.opam/default/bin/google-drive-ocamlfuse'
restorecon -v /home/panekadamek/.opam/default/bin/google-drive-ocamlfuse
systemctl restart google-drive
[sudo] hasło użytkownika panekadamek: 
ValueError: Kontekst pliku dla /home/panekadamek/.opam/default/bin/google-drive-ocamlfuse jest już określony
Job for google-drive.service failed because the control process exited with error code.
See "systemctl status google-drive.service" and "journalctl -xeu google-drive.service" for details.

 

Tak wpisałem sudo...

[@sunrise]

Generalnie przy problemach z selinuxem powinien się pojawić, w obszarze powiadomień komunikat o tym, po kliknięciu na nim otwiera się okno sealert, a po wybraniu "Rozwiązywanie problemów" albo "Szczegóły" program podpowiada jakie należy wykonać czynności.

Można też zrobić to samodzielnie w konsoli.

np.

ausearch -c '(camlfuse)' --raw | audit2allow -M my-googledrive
semodule -i my-googledrive.pp

Gdzie:

(camlfuse) - nazwa polecenia, które wywołało alert selinuxa, i znajduje się ono w logach, w twoim przypadku.

lut 17 18:50:48 fedora audit[53884]: AVC avc: denied { execute } for pid=53884 comm="(camlfuse)" name="google-drive-ocamlfuse" dev="sda3" ino=2083703 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0

 

my-googledrive - nazwa modułu polityki selinux, może być dowolna

ausearch szuka w logach wpisów o selinuxie

audit2allow tworzy z tych wpisów odpowiednią politykę

semodule ładuje ta politykę

Jeżeli jesteś pewien, że tylko twoje polecenia wywołuje alerty selinuxa, może pominąć ausearch i bezpośrednio wywołać audit2allow, np.

audit2allow -l -M my-googledrive
semodule -i my-googledrive.pp

W audit2allow  zamiast opcji -l można też użyć -b i -a, co robią te opcje dowiesz się z man audit2allow

Na pewno nie skończy się na jednokrotnym wywołaniu tych poleceń i będziesz musiał powtarzać je do czasu, aż uda Ci się zamontować i i odmontować dysk i w logach nie będzie już, alertów selinuxa. Jeżeli użyjesz ausearch to musisz pamiętać, że nazwa może się zmieniać i musisz za każdym razem sprawdzać jakie polecenie wywołało alert selinuxa.

 

[fraktal15]

Udało mi się dotrzeć do czegoś takiego. Odpaliłem graficzną formę Selinux:

SELinux powstrzymuje (camlfuse) przed dostępem execute w plik google-drive-ocamlfuse.

*****  Wtyczka catchall (100. zaufania) sugeruje   ***************************

Aby (camlfuse) powinno mieć domyślnie execute dostęp do google-drive-ocamlfuse file.
Wtedy proszę to zgłosić jako błąd.
Można utworzyć lokalny moduł polityki, aby umożliwić ten dostęp.
Wykonać
można tymczasowo zezwolić na ten dostęp wykonując polecenia:
# ausearch -c '(camlfuse)' --raw | audit2allow -M my-camlfuse
# semodule -X 300 -i my-camlfuse.pp

Dodatkowe informacje:
Kontekst źródłowy             system_u:system_r:init_t:s0
Kontekst docelowy             unconfined_u:object_r:user_home_t:s0
Obiekty docelowe              google-drive-ocamlfuse [ file ]
Źródło                        (camlfuse)
Ścieżka źródłowa              (camlfuse)
Port                          <Nieznane>
Komputer                      fedora
Źródłowe pakiety RPM          
Docelowe pakiety RPM          
Pakiet RPM polityki SELinuksa selinux-policy-targeted-35.15-1.fc35.noarch
Lokalny pakiet RPM polityki   selinux-policy-targeted-35.15-1.fc35.noarch
SELinux jest włączony         True
Typ polityki                  targeted
Tryb wymuszania               Enforcing
Nazwa komputera               fedora
Platforma                     Linux fedora 5.16.9-200.fc35.x86_64 #1 SMP PREEMPT
                              Fri Feb 11 16:29:17 UTC 2022 x86_64 x86_64
Liczba alarmów                5
Po raz pierwszy               2022-02-22 18:41:55 CET
Po raz ostatni                2022-02-22 18:41:56 CET
Lokalny identyfikator         e203e886-a1a1-427c-8ba8-91f5c69a0930

Surowe komunikaty audytu
type=AVC msg=audit(1645551716.750:433): avc:  denied  { execute } for  pid=12248 comm="(camlfuse)" name="google-drive-ocamlfuse" dev="sda3" ino=2352984 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0


Hash: (camlfuse),init_t,user_home_t,file,execute

I co mogę z tym zrobić?

[@sunrise]

4 minuty temu, fraktal15 napisał:

I co mogę z tym zrobić?

Postępujesz tak jak sugeruje program, to samo napisałem we wcześniejszym poście.

6 minut temu, fraktal15 napisał:

Można utworzyć lokalny moduł polityki, aby umożliwić ten dostęp.

Wykonać można tymczasowo zezwolić na ten dostęp wykonując polecenia:

# ausearch -c '(camlfuse)' --raw | audit2allow -M my-camlfuse

# semodule -X 300 -i my-camlfuse.pp

 

[fraktal15]

OK udało mi się pozbyć tych błędów. Ale nadal googledrive nie jest po restarcie automatycznie montowany i gotowy do użycia przez systemd

 

Dopiero po użyciu:

[panekadamek@fedora ~]$ mount | grep google
[panekadamek@fedora ~]$ google-drive-ocamlfuse ~/googledrive

na nowo się montuje.

Komenda:

sudo systemctl status google-drive

wyświetla:

google-drive.service - FUSE filesystem over Google Drive
     Loaded: loaded (/etc/systemd/system/google-drive.service; disabled; vendor>
     Active: inactive (dead)

[tomcio]

3 godziny temu, fraktal15 napisał:

nadal googledrive nie jest po restarcie automatycznie montowany

Nie jest montowany, bo nie włączyłeś:

systemctl enable google-drive.service

 

[fraktal15]

Pomogło - działa. Wielkie dziękuję:D