Gdzie Ten Selinux ?

[MrReal]

Ostatnio wgrałem sobie k2.6.10 dla FC2. W configu zaznaczyłem opcję SELinux. Przeczytałem gdzieś że to są jakieś łatki do jądra poprawiające jego bezpieczeństwo i watro to mieć wkompilowane na stałe w jądro.

Jednak w czasie startu systemu widze:

SELinux: disabled at runtime

Co to znaczy?

To mam ten SELinux czy nie?

Jak to sprawdzić?

 

Pozdrawiam

[gajownik]

SELinux: disabled at runtime

Co to znaczy?

To mam ten SELinux czy nie?

To znaczy, że jest wyłączony. W FC2 włączało się to w /etc/sysconfig/selinux (w FC3 to jest symlink do /etc/selinux/config). Oprócz samego SELinux w jądrze trzeba mieć też polityki bezpieczeństwa. Najmniej problemów będziesz miał z selinux-policy-targeted. Oprócz tego potrzebna jest też biblioteka libselinux.

 

Jak to włączysz, to będziesz musiał nadać odpowiedni kontekst plikom (poszukaj na forum albo tutaj → http://fedora.redhat.com/docs/selinux-faq-fc2/ ).

 

Jak chcesz zwiększyć bezpieczeństwo systemu, to powinieneś uzywać źródeł z dystrybucji - zawarty tam patch Execshiled chroni przed dużą ilością exploitów :-) Może nie chroni tak dobrze jak PaX, ale za to nie obciąża bardzo systemu (idealne na desktop).

 

http://en.wikipedia.org/wiki/Exec_Shield

[MrReal]

hmm Jądro 2.6.10 ściągnąłem z fedora.redhat...updates... dla FC2. Czyli rozumiem że w tym jest już patch Execshiled - super.

 

Co do SELinux to czy można sobie coś popsuć nieumiejętnym manipulowaniem uprawnieniami do plików?

[@WalDo]

A ja się podłącze pod wątek z pytaniem: czy zna ktoś jakiś link do opisu SELinux, ale po polsku? Temat ciężki na tyle, że nie jestem pewien czy w lengłidż dobrze rozumiem

 

Dzięki za wszelkie namiary,

Pozdr,

W.

[gajownik]

Czyli rozumiem że w tym jest już patch Execshiled - super.

Tak.

Co do SELinux to czy można sobie coś popsuć nieumiejętnym manipulowaniem uprawnieniami do plików?

Można zablokowac wykonanie niektórych operacji - np paczka rpm nie zainstaluje Ci się poprawnie. Najlpiej jak uruchomisz na początku w trybie permissive - SELinux będzie działać, ale nie będzie nic blokował. Potem odpal dmesg i zobacz czy masz wiele ostrzeżeń z avc (Access Vector Cache) w nazwie. Jak tak, to znaczy, że coś źle działa :/ Potem najwyżej możesz włączyć tryb enforce, by zabronione operacje były blokowane.

 

Tu masz opis jak to włączyć → http://fedora.redhat.com/docs/selinux-faq-....html#id3248442 (albo w grub.conf, albo w /etc/sysconfig/selinux)

Aczy zna ktoś jakiś link do opisu SELinux, ale po polsku?

http://ftp.camk.edu.pl/private/chris/PLUG/...winaria2003.pdf - od strony 47, ale to ma juz dwa lata. Zresztą opisy po angilesku nie są takie ciężkie - takie sobie zwykłe HOWTO. Gorzej się czyta artykuły w prasie i takie tam ;-)

[@WalDo]

Tiaaa, myślałem, że po polsku to jakoś mi łatwiej przyjdzie zrozumieć zawiłości tematu, ale jak poczytałem tego PDF-a, to chyba jednak wolę to co piszą twórcy Fedory na tym SELinux FAQ. Jakoś tak przejrzyściej i bardziej usystematyzowane

W każdym razie dzięki gajownik za przypomnienie, że najlepiej zbierać informacje u źródeł - szukałem wszędzie, tylko oficjalną stronę Fedory jakoś szerokim łukiem omijałem

 

Pozdr,

W.

[pesto]

a to czytaliście ?